通过AccessKey网络访问限制策略,限制使用永久AccessKey的API请求来源IP地址,将AccessKey调用来源控制在可信的网络环境内,提升AccessKey的安全性。
AccessKey网络访问限制策略对除云消息队列RocketMQ版、云消息队列RabbitMQ版、云消息队列MQTT版、事件总线EventBridge、轻量消息队列、云监控(通过HTTP上报事件监控数据功能)、实时数仓Hologres以外的所有云产品生效,未支持的云产品上线时间由云产品另行通知。
策略类型
RAM提供以下两种AccessKey网络访问限制策略:
账号级AccessKey网络访问限制策略
该策略对阿里云账号内所有AccessKey生效,包括主账号AccessKey和RAM用户AccessKey。
AccessKey级网络访问限制策略
该策略对主账号或RAM用户的单个AccessKey生效。
AccessKey级策略优先级高于账号级策略,当某个AccessKey配置了AccessKey级策略时,账号级策略对该AccessKey不生效。
两种类型的AccessKey网络访问限制策略判定流程如下:
使用限制
云账号和单个AccessKey均支持最多添加8条网络访问限制策略,其中公网策略最多添加1条。
每条策略最多包含50个IP地址/IP地址段。
配置策略
网络访问限制策略配置后会立即生效,建议您在配置前参考AccessKey审计记录,结合企业网络管理信息,梳理可信的网络地址列表,确保访问策略地址准确和完整。
配置账号级网络访问限制策略
使用RAM管理员登录RAM控制台。
在设置页面的网络访问限制区域,单击允许通过AccessKey访问的来源网络地址右侧的修改。
在账号级网络访问限制策略面板,设置公网策略和专有网络策略后,启用策略并单击提交。
策略状态:选中启用,当前配置的策略才会生效。
公网策略:单击添加公网策略,输入公网IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何公网策略,表示拒绝所有公网IP访问;单击允许所有公网访问,会添加一条
0.0.0.0/0或::/0公网策略,表示允许所有公网IP访问。专有网络策略:单击添加专有网络策略,输入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何专有网络策略,表示拒绝所有VPC内的IP地址访问;单击允许所有专有网络访问,会添加一条VPC ID为
AllowAllVPC,IP地址为0.0.0.0/0或::/0专有网络策略,表示允许所有VPC内的所有IP地址访问。
支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。
配置RAM用户的AccessKey级网络访问限制策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户名称。
在认证管理页签下的AccessKey区域,单击目标AccessKey操作列的网络访问限制策略。
在AccessKey级网络访问限制策略面板,设置公网策略和专有网络策略后,启用策略并单击提交。
策略状态:选中启用,当前配置的策略才会生效。
公网策略:单击添加公网策略,输入公网IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何公网策略,表示拒绝所有公网IP访问;单击允许所有公网访问,会添加一条
0.0.0.0/0或::/0公网策略,表示允许所有公网IP访问。专有网络策略:单击添加专有网络策略,输入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何专有网络策略,表示拒绝所有VPC内的IP地址访问;单击允许所有专有网络访问,会添加一条VPC ID为
AllowAllVPC,IP地址为0.0.0.0/0或::/0专有网络策略,表示允许所有VPC内的所有IP地址访问。
支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。
配置主账号的AccessKey级网络访问限制策略
使用阿里云账号(主账号)登录阿里云控制台。
将鼠标悬浮在右上方的账号图标上,单击AccessKey。
在不建议使用云账号AccessKey对话框,勾选我确认知晓云账号AccessKey安全风险,然后单击继续使用云账号AccessKey。
单击目标AccessKey操作列的网络访问限制策略。
在AccessKey级网络访问限制策略面板,设置公网策略和专有网络策略后,启用策略并单击提交。
策略状态:选中启用,当前配置的策略才会生效。
公网策略:单击添加公网策略,输入公网IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何公网策略,表示拒绝所有公网IP访问;单击允许所有公网访问,会添加一条
0.0.0.0/0或::/0公网策略,表示允许所有公网IP访问。专有网络策略:单击添加专有网络策略,输入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不添加任何专有网络策略,表示拒绝所有VPC内的IP地址访问;单击允许所有专有网络访问,会添加一条VPC ID为
AllowAllVPC,IP地址为0.0.0.0/0或::/0专有网络策略,表示允许所有VPC内的所有IP地址访问。
支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。
配置示例
场景 | 策略配置 |
场景 | 策略配置 |
对所有AccessKey不作网络访问限制 | 账号级和AccessKey级网络访问限制策略状态均设置为不启用(无论策略是否有内容)。 |
允许来自全部公网IP的调用 | 在账号级或AccessKey级网络访问限制策略中添加一条IP地址为 |
允许来自全部VPC内IP的调用 | 在账号级或AccessKey级网络访问限制策略中添加一条VPC ID为 |
拒绝所有来自公网IP的调用 | 在账号级或AccessKey级网络访问限制策略中将策略状态设置为启用,但是不添加任何公网策略。 |
拒绝所有来自VPC内IP的调用 | 在账号级或AccessKey级网络访问限制策略中将策略状态设置为启用,但是不添加任何专有网络策略。 |
存在账号级网络访问限制,需要设置某个指定AccessKey允许全部公网和VPC的IP调用。 | 对指定AccessKey启用AccessKey级网络访问限制策略,策略内容如下:
|
允许阿里云账号下所有AccessKey通过公网IP(例如: | 启用账号级网络访问限制策略,策略内容如下:
具体操作,请参见配置账号级网络访问限制策略。 |
允许指定AccessKey通过公网IP(例如: | 对指定AccessKey启用AccessKey级网络访问限制策略,策略内容如下:
启用AccessKey级网络访问限制策略后,账号级策略对该AccessKey不生效。 具体操作,请参见配置RAM用户的AccessKey级网络访问限制策略、配置主账号的AccessKey级网络访问限制策略。 |
- 本页导读 (1)
- 策略类型
- 使用限制
- 配置策略
- 配置账号级网络访问限制策略
- 配置RAM用户的AccessKey级网络访问限制策略
- 配置主账号的AccessKey级网络访问限制策略
- 配置示例