AccessKey网络访问限制策略

访问密钥AccessKey(简称AK)网络访问限制策略,通过指定允许AccessKey调用的来源地址,限制AccessKey只能从这些网络地址调用阿里云API,将AccessKey调用来源控制在可信的网络环境内,提升AccessKey的安全性。

重要
  • AccessKey网络访问限制策略功能目前处于邀测阶段,请先联系阿里云的服务经理,申请体验资格后才能进行试用。

  • AccessKey网络访问限制策略对除云消息队列RocketMQ版、云消息队列RabbitMQ版、云消息队列MQTT版、事件总线EventBridge、轻量消息队列、云监控(通过HTTP上报事件监控数据功能)、实时数仓Hologres以外的所有云产品生效,未支持的云产品上线时间由云产品另行通知。

策略类型

RAM提供以下两种AccessKey网络访问限制策略:

  • 账号级AccessKey网络访问限制策略

    该策略默认对云账号内所有AccessKey生效,包括主账号AccessKey和RAM用户AccessKey,但对设置了AccessKey级网络访问限制策略的AccessKey不生效。

  • AccessKey级网络访问限制策略

    该策略对单个AccessKey生效,当一个AccessKey设置了AccessKey级网络访问控策略后,账号级AccessKey网络访问限制策略对该AccessKey不生效。

两种类型的AccessKey网络访问限制策略判定流程如下:

image

配置策略

网络访问限制策略配置后会立即生效,建议您在配置前参考AccessKey审计记录,结合企业网络管理信息,梳理可信的网络地址列表,确保访问策略地址准确和完整。

配置账号级网络访问限制策略

  1. 使用RAM管理员登录RAM控制台

  2. 设置页面的网络访问限制区域,单击允许通过AccessKey访问的来源网络地址右侧的修改

    image

  3. 账号级网络访问限制策略对话框,设置账号级公网策略和专有网络策略。

    • 公网策略:需填入公网IP地址或IP地址段,支持IPv4和IPv6格式。不创建公网策略代表所有公网IP来源均可通过。因此,若要拒绝所有公网访问,需要填入非公网地址,例如:127.0.0.1

    • 专有网络策略:需填入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不创建专有网络策略代表所有来自专有网络的调用均可通过。创建专有网络策略,在IP列表中填入0.0.0.0/0::/0,表示允许该VPC内的所有IP地址的访问。

    如下图所示,允许该账号下所有AccessKey通过公网IP地址(203.0.113.1)调用阿里云API,同时,允许通过VPC(vpc-m5ekxe1zi8zwgqrtc****)内的所有IP地址调用阿里云API。

    image

    说明

    支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。

配置AccessKey级网络访问限制策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户名称。

  4. 认证管理页签下的AccessKey区域,单击目标AccessKey操作列的网络访问限制策略

    image

  5. AccessKey级网络访问限制策略对话框,设置AccessKey级公网策略和专有网络策略。

    • 公网策略:需填入公网IP地址或IP地址段,支持IPv4和IPv6格式。不创建公网策略代表所有公网IP来源均可通过。因此,若要拒绝所有公网访问,需要填入非公网地址,例如:127.0.0.1

    • 专有网络策略:需填入VPC ID和VPC内的IP地址或IP地址段,支持IPv4和IPv6格式。不创建专有网络策略代表所有来自专有网络的调用均可通过。创建专有网络策略,在IP列表中填入0.0.0.0/0::/0,表示允许该VPC内的所有IP地址的访问。

    如下图所示,允许目标AccessKey通过公网IP地址(203.0.113.1)调用阿里云API,同时,允许通过VPC(vpc-m5ekxe1zi8zwgqrtc****)内的所有IP地址调用阿里云API。

    image

    说明

    支持一条策略中输入多个IP地址或IP地址段,多个IP地址使用空格、半角逗号(,)或半角分号(;)分隔。

使用限制

  • 云账号和单个AccessKey均支持最多添加8条网络访问限制策略,其中公网策略最多添加1条。

  • 每条策略最多包含50个IP地址或IP地址段。