文档中心

限制 IP 地址对桶的访问权限

最近更新时间：2024.03.26 16:32:21

首次发布时间：2022.03.17 10:33:30

本文档介绍如何通过设置源端 IP 地址，限制访问存储桶的IP地址。

场景说明

授权账号：其他账号（本文以 210000**** 为例）下的 user 用户。
授权资源：bucketname 存储桶下的所有对象。
限制 IP：拒绝 192.168.1.0 及 1080:0:0:0:8:800:200C:417A 的地址访问授权资源。

说明

如果您希望只允许指定 IP 地址访问存储桶，您可以将本示例中的条件运算符修改为不等于（JSON 视图下将 IpAddress 修改为 NotIpAddress）即可。

注意事项

权限配置后略有延迟，如果您配置的权限没有立即生效，建议您稍后重试。

操作步骤

登录对象存储控制台。
在左侧导航栏，单击桶列表，在桶列表页面单击目标桶名称。
在左侧导航栏，选择权限管理 > 存储桶授权策略管理。
根据需要选择授权方式。

可视化视图

JSON视图

单击创建策略。
在创建存储桶授权策略页面，选择文件夹只读模板，然后单击下一步。
设置如下参数。
- 效力：选择拒绝。
- 授权用户：选择指定账号。
- 其他账号：选择其他主账号，输入其他主账号 ID，单击添加字段，输入子用户名称，本文以 user 为例。
- 资源：选择指定对象，设置需要的资源路径，本文中以所有对象为例。
- 条件：单击添加字段，设置 IP 参数。
  - 键：SourceIP
  - 条件运算符：等于
  - 值：192.168.1.0。
  说明
  - 支持添加 ipv4 及 ipv6 地址。详细说明，请参见桶策略模板及参数说明。
  - 本文档 IP 地址仅供参考，您需要根据实际需要设置 IP 地址。你可以单击添加字段，设置多个 IP 地址。
设置完成后，单击下一步。
确认策略无误后，单击确定。

单击编辑，将以下内容复制到文本框中，单击保存。

{
  "Statement": [
    {
      "Sid": "文件夹只读-10c1",
      "Effect": "Deny",
      "Principal": [
        "210000****/user"
      ],
      "Action": [
        "tos:ListBucket",
        "tos:HeadBucket",
        "tos:ListBucketVersions",
        "tos:GetObject",
        "tos:GetObjectAcl",
        "tos:GetObjectVersion"
      ],
      "Resource": [
        "trn:tos:::bucketname",
        "trn:tos:::bucketname/*"
      ],
      "Condition": {
        "IpAddress": {
          "tos:sourceip": [
            "192.168.1.0",
            "1080:0:0:0:8:800:200C:417A"
          ]
        }
      }
    }
  ]
}

场景说明

推荐配置方法

注意事项

操作步骤

对象存储

限制 IP 地址对桶的访问权限

场景说明

推荐配置方法

注意事项

操作步骤