限制子账号/API秘钥使用固定IP访问(IP白名单)

背景需求:

业务实际场景下,云API秘钥是固定在某些机器上跑,基于安全考虑,可以限制只允许固定的IP能调用API访问。

当前API秘钥暂时没有IP白名单功能,但是子账号的账号权限可以设置限制IP访问,以下为演示操作

功能实现:

通过自定义策略限制IP访问

不适用场景:

内网VPC环境和官网控制台调用,走的是内网,可能会经过网关或网络代理等设备访问到云API,识别到的IP非实际用户的IP。

操作步骤:

1. 在访问管理的策略里,新建自定义策略;

2. 给子账号关联策略;

3. 测试验证;

具体操作:

1. 在访问管理的策略里,新建自定义策略;

进入策略界面,新建自定义策略

我们这里新建个COS所有资源的读写操作,仅允许119.45.241.13 IP访问

保存策略名称,此时也可以直接关联给用户,也可以先完成,在用户界面关联权限。

2. 给子账号关联策略;

在用户列表中,进入想要设置的用户,添加权限

注意,如果这个子账号已经有其他权限,记得都按自定义策略生成限制IP访问的策略,然后把原来的策略删除。

例如此策略中,这两个是预设的策略,没有IP限制的,如果不解除,这两个权限所有IP都是能调用

3. 测试验证

在授权的119.49.241.13机器上,通过COSbrowser测试,可正常访问COS。

在其他机器上测试

秘钥鉴权会通过,但是会提示没有权限

常见问题:

Q:如何查询我秘钥历史调用的客户端IP

A:可在操作记录里,输入秘钥ID查询