配置Instance Policy

如果要针对实例进行访问来源IP、访问来源网络、访问来源TLS版本的限制,您可以通过为实例配置Instance Policy实现,确保访问来源安全,进而保证实例中资源安全。

前提条件

已创建表格存储实例。具体操作,请参见创建实例

注意事项

  • 单个实例最多支持添加的授权条件总大小不能超过4 KB。

  • 当授权条件的效果为允许的情况下,如果单个授权条件存在多个条件或者存在多个授权条目时,则只要访问来源满足其中任意一个条件即可访问实例。

  • 当授权条件的效果为拒绝的情况下,即使其他条件中存在允许执行相应操作,也以拒绝执行操作为准。对用户的授权中,效果为拒绝的条件优先级最高。

  • 如果Instance Policy对同一个操作即进行了授权又进行了拒绝,则理解为拒绝,即用户无相应操作权限。

  • 当为实例同时配置Instance PolicyNetwork ACL时,访问来源必须同时满足Instance PolicyNetwork ACL的条件时才能进行实例访问。

  • 请根据实际业务场景进行相应配置。

    • 如果要为用户授予某个操作权限,请选择效果(Effect)允许后再配置允许某个操作的条件。如果RAM Policy等其他授权策略中存在Deny该操作的配置,则此授权将不生效。

    • 如果要拒绝用户进行某个操作,请选择效果(Effect)拒绝后再配置拒绝某个操作的条件。即使RAM Policy等其他授权策略中存在Allow该操作的配置,此授权的拒绝操作仍生效,其他授权策略中的Allow授权会失效。

操作步骤

  1. 进入新增策略面板。

    1. 登录表格存储控制台

    2. 概览页面,选择地域后,单击实例名称

    3. 安全策略页签,单击新增授权

  2. 新增策略面板的可视化策略展示页签,选择效果(Effect)允许或者拒绝

    说明

    服务(Service)固定取值为表格存储(ots)操作(Action)固定取值为全部操作(*)资源(Resource)固定取值为全部资源(*),无法修改。

  3. 根据实际添加条件。

    如果需要添加多个条件,请多次执行该步骤进行添加和配置。

    1. 单击添加条件后,单击新增条件后的编辑

    2. 添加条件对话框,根据下表说明配置条件。

      参数

      说明

      条件键

      条件键值。取值范围如下:

      • acs:SourceVpc:根据来源VPC控制访问实例的客户端所处VPC。

      • ots:TLSVersion:根据来源使用的TLS版本控制访问实例的客户端。

      • acs:SourceIP:根据来源IP控制访问实例的客户端。

      运算符

      条件键值的运算符。

      当选择条件键acs:SourceVpc或者ots:TLSVersion时,取值范围如下:

      • StringEquals:条件字符串等于。

      • StringNotEquals:条件字符串不等于。

      当选择条件键acs:SourceIP时,取值范围如下:

      • IpAddress:包括IP地址。

      • NotIpAddress:不包括IP地址。

      条件值

      请根据实际设置条件值。

      • 当选择条件键acs:SourceVpc时,请选择实例已绑定的VPC或者填写有效的VPC ID。

      • 当选择条件键ots:TLSVersion时,请选择所需TLS版本,取值范围为1.0、1.1、1.21.3。

      • 当选择条件键acs:SourceIP时,请填写IP地址或者IP网段。

        如果需要填写多个IP地址,请使用半角逗号(,)分隔多个IP地址。

    3. 单击确定

      条件配置完成后,您可以在脚本策略展示页签查看策略的脚本形式。

  4. 单击确定

    为实例添加授权策略后,您可以在完整脚本策略展示页签,查看实例的完整授权策略。关于Instance Policy权限说明的更多信息,请参见Instance Policy权限说明

相关操作

为实例添加授权策略后,您可以在可视化策略展示页签根据需要对授权策略执行相应。

操作

说明

查看授权策略信息

查看授权策略的资源、操作、条件键、授权主题、效果等配置信息。

  • 在权策略列表中直接查看授权策略的配置信息

  • 单击授权策略操作列的策略查询,在策略查询面板查看相应授权策略的可视化信息和脚本策略信息。

编辑授权策略条件

根据需要修改授权策略的效果和条件。

  1. 单击授权策略操作列的编辑

  2. 编辑策略面板,根据需要修改效果和条件信息。

  3. 单击确定

删除授权策略

根据业务变化删除不需要的授权策略。

单击授权策略操作列的删除,在弹出的对话框中单击确定

重要
  • 授权策略删除后不可恢复,只能重新配置。

  • 授权策略删除后,相应权限控制将失效,请确保实例处于安全环境。