日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 表格存儲 安全合規 使用RAM進行訪問控制 基于身份的策略 表格存儲自定義權限策略參考

表格存儲自定義權限策略參考

更新時間:
產品詳情
我的收藏

如果系統權限策略不能滿足您的要求,您可以創建自定義權限策略實現最小授權。使用自定義權限策略有助于實現權限的精細化管控,是提升資源訪問安全的有效手段。本文介紹表格存儲使用自定義權限策略的場景和策略示例。

什么是自定義權限策略

在基于RAM的訪問控制體系中,自定義權限策略是指在系統權限策略之外,您可以自主創建、更新和刪除的權限策略。自定義權限策略的版本更新需由您來維護。

  • 創建自定義權限策略后,需為RAM用戶、用戶組或RAM角色綁定權限策略,這些RAM身份才能獲得權限策略中指定的訪問權限。

  • 已創建的權限策略支持刪除,但刪除前需確保該策略未被引用。如果該權限策略已被引用,您需要在該權限策略的引用記錄中移除授權。

  • 自定義權限策略支持版本控制,您可以按照RAM規定的版本管理機制來管理您創建的自定義權限策略版本。

操作文檔

常見自定義權限策略場景及示例

說明

關于典型示例配置的具體操作,請參見自定義RAM Policy

目前表格存儲支持的Policy包括訪問IP限制、是否通過HTTPS訪問、是否通過MFA(多因素認證)訪問、是否通過TLSv1.2TLSv1.3版本訪問、訪問時間限制等多種鑒權條件。

訪問IP限制

通過自定義權限策略限制訪問表格存儲的源IP地址,并且支持根據網段進行過濾。典型配置如下:

  • 限制多個IP地址。

    以下示例用于只允許IP地址為10.10.XX.XX10.11.XX.XX的請求訪問。

    {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.11.XX.XX"
                ]
            }
        }
    }
],
"Version": "1"
}

  • 限制單個IP地址和IP網段。

    以下示例用于只允許IP地址為10.10.XX.XX10.10.XX.XX/24網段的請求訪問。

    {
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.10.XX.XX/24"
                ]
            }
        }
    }
],
"Version": "1"
}

HTTPS訪問限制

通過自定義權限策略限制是否通過HTTPS訪問表格存儲

以下示例用于限制請求必須通過HTTPS訪問表格存儲

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ],
    "Version": "1"
}

TLS版本訪問限制

通過自定義權限策略限制是否通過TLSv1.2TLSv1.3版本訪問表格存儲

以下示例用于限制請求必須通過TLSv1.2TLSv1.3版本訪問表格存儲

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

MFA訪問限制

通過自定義權限策略限制是否通過MFA(多因素認證)訪問表格存儲

以下示例用于限制請求必須通過MFA訪問表格存儲

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent ": "true"
                }
            }
        }
    ],
    "Version": "1"
}

訪問時間限制

通過自定義權限策略限制請求的訪問時間,即只允許或拒絕在某個時間點范圍之前的請求。

以下示例用于限制用戶在北京時間201611日零點之前可以訪問表格存儲,之后將不能再訪問。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
                }
            }
        }
    ],
    "Version": "1"
}