备案控制台
文档
产品文档
输入文档关键字查找
首页 表格存储 安全合规 使用RAM进行访问控制 基于身份的策略 表格存储自定义权限策略参考

表格存储自定义权限策略参考

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍表格存储使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

  • 创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。

  • 已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。

  • 自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

常见自定义权限策略场景及示例

说明

关于典型示例配置的具体操作,请参见自定义RAM Policy

目前表格存储支持的Policy包括访问IP限制、是否通过HTTPS访问、是否通过MFA(多因素认证)访问、是否通过TLSv1.2和TLSv1.3版本访问、访问时间限制等多种鉴权条件。

访问IP限制

通过自定义权限策略限制访问表格存储的源IP地址,并且支持根据网段进行过滤。典型配置如下:

  • 限制多个IP地址。

    以下示例用于只允许IP地址为10.10.XX.XX和10.11.XX.XX的请求访问。

    {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.11.XX.XX"
                ]
            }
        }
    }
],
"Version": "1"
}

  • 限制单个IP地址和IP网段。

    以下示例用于只允许IP地址为10.10.XX.XX或10.10.XX.XX/24网段的请求访问。

    {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.10.XX.XX/24"
                ]
            }
        }
    }
],
"Version": "1"
}

HTTPS访问限制

通过自定义权限策略限制是否通过HTTPS访问表格存储

以下示例用于限制请求必须通过HTTPS访问表格存储

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ],
    "Version": "1"
}

TLS版本访问限制

通过自定义权限策略限制是否通过TLSv1.2和TLSv1.3版本访问表格存储

以下示例用于限制请求必须通过TLSv1.2和TLSv1.3版本访问表格存储

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

MFA访问限制

通过自定义权限策略限制是否通过MFA(多因素认证)访问表格存储

以下示例用于限制请求必须通过MFA访问表格存储

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent ": "true"
                }
            }
        }
    ],
    "Version": "1"
}

访问时间限制

通过自定义权限策略限制请求的访问时间,即只允许或拒绝在某个时间点范围之前的请求。

以下示例用于限制用户在北京时间2016年1月1日零点之前可以访问表格存储,之后将不能再访问。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
                }
            }
        }
    ],
    "Version": "1"
}
文档推荐
  • 本页导读 (1)
文档反馈