本文章介绍如何通过自定义策略限制子账号访问 IP,设置成功后,子账号将通过所设置的 IP 管理主账号下的资源,或者拒绝子账号通过设置的 IP 管理主账号下资源。
- 进入 策略 管理页面,单击左上角的新建自定义策略。
- 在弹出的选择创建方式窗口中,单击按策略生成器创建,进入选择服务和操作页面。
- 在选择服务和操作页面,补充以下信息。
- 效果:必填项,选择 "允许"。如选择 "拒绝",用户或用户组不能获取授权。
- 服务:必填项,选择需要添加的产品。
- 操作:必填项,根据您的需求勾选产品权限。
- 资源:必填项,您可以参考 资源描述方式 填写。
- 条件:根据您的需求选择条件,输入 IP 地址。可以添加多条限制。例如,效果选择"允许",仅限使用该 IP 地址的用户或组获取授权
一、新建策略
(1)策略地址:https://console.cloud.tencent.com/cam/policy
(2)按策略生成器创建
(3)生成策略
服务选择对应的云服务如示例(文字识别),操作与资源选择全部,条件选择来源IP(以42.开头IP示例),后面输入你允许访问的IP。不允许此ip访问,可添加其他条件设置。
(4)确认策略
二、用户配置策略
(1)用户列表地址:https://console.cloud.tencent.com/cam
(2)授权关联策略(如已授权子账户文字识别(ocr)全读写访问策略,则此IP限制不会生效,需取消子账户文字识别(ocr)全读写访问策略)
三、调试
(1)获取授权子账号的秘钥(限制的子账号,只能使用子账号秘钥去调用)
(2)本地访问文字识别服务测试(访问限制报错)
代码语言:javascript复制Array
(
[Response] => Array
(
[Error] => Array
(
[Code] => AuthFailure.UnauthorizedOperation
[Message] => You are not authorized to perform this operation. Check your CAM policies, and ensure that you are using the correct access keys. [[request id:ba337318-e58e-4a01-bd1f-bc9c17be8f54]you are not authori
zed to perform operation (ocr:IDCardOCR)
resource (*) has no permission
]
)
[RequestId] => ba337318-e58e-4a01-bd1f-bc9c17be8f54
)
)