为实例配置Instance Policy

前提条件

已创建表格存储实例。具体操作，请参见创建实例。

注意事项

• 只有阿联酋（迪拜）地域不支持Instance Policy功能。表格存储支持的地域请参见地域。

• 单个实例最多支持添加的授权条件总大小不能超过4 KB。

• 当授权条件的效果为允许的情况下，如果单个授权条件存在多个条件或者存在多个授权条目时，则只要访问来源满足其中任意一个条件即可访问实例。

• 当授权条件的效果为拒绝的情况下，即使其他条件中存在允许执行相应操作，也以拒绝执行操作为准。对用户的授权中，效果为拒绝的条件优先级最高。

• 如果Instance Policy对同一个操作即进行了授权又进行了拒绝，则理解为拒绝，即用户无相应操作权限。

• 当为实例同时配置Instance Policy与Network ACL时，访问来源必须同时满足Instance Policy与Network ACL的条件时才能进行实例访问。

• 请根据实际业务场景进行相应配置。

  • 如果要为用户授予某个操作权限，请选择效果(Effect)为允许后再配置允许某个操作的条件。如果RAM Policy等其他授权策略中存在Deny该操作的配置，则此授权将不生效。

  • 如果要拒绝用户进行某个操作，请选择效果(Effect)为拒绝后再配置拒绝某个操作的条件。即使RAM Policy等其他授权策略中存在Allow该操作的配置，此授权的拒绝操作仍生效，其他授权策略中的Allow授权会失效。

操作步骤

1. 进入新增策略面板。

   1. 登录表格存储控制台。

   2. 在概览页面，选择地域后，单击实例名称。

   3. 在安全策略页签，单击新增授权。

2. 在新增策略面板的可视化策略展示页签，选择效果(Effect)为允许或者拒绝。

   说明

   服务(Service)固定取值为表格存储(ots)，操作(Action)固定取值为全部操作(*)，资源(Resource)固定取值为全部资源(*)，无法修改。

3. 根据实际添加条件。

   如果需要添加多个条件，请多次执行该步骤进行添加和配置。

   1. 单击添加条件后，单击新增条件后的编辑。

   2. 在添加条件对话框，根据下表说明配置条件。

      参数	说明
      条件键	条件键值。取值范围如下： acs:SourceVpc：根据来源VPC控制访问实例的客户端所处VPC。 ots:TLSVersion：根据来源使用的TLS版本控制访问实例的客户端。 acs:SourceIP：根据来源IP控制访问实例的客户端。
      运算符	条件键值的运算符。 当选择条件键为acs:SourceVpc或者ots:TLSVersion时，取值范围如下： StringEquals：条件字符串等于。 StringNotEquals：条件字符串不等于。 当选择条件键为acs:SourceIP时，取值范围如下： IpAddress：包括IP地址。 NotIpAddress：不包括IP地址。
      条件值	请根据实际设置条件值。 当选择条件键为acs:SourceVpc时，请选择实例已绑定的VPC或者填写有效的VPC ID。 当选择条件键为ots:TLSVersion时，请选择所需TLS版本，取值范围为1.0、1.1、1.2和1.3。 当选择条件键为acs:SourceIP时，请填写IP地址或者IP网段。 如果需要填写多个IP地址，请使用半角逗号（,）分隔多个IP地址。

   3. 单击确定。

      条件配置完成后，您可以在脚本策略展示页签查看策略的脚本形式。

4. 单击确定。

   为实例添加授权策略后，您可以在完整脚本策略展示页签，查看实例的完整授权策略。关于Instance Policy权限说明的更多信息，请参见Instance Policy权限说明。

相关操作

为实例添加授权策略后，您可以在可视化策略展示页签根据需要对授权策略执行相应。