为特定账号配置访问限制

本指南介绍如何为特定账号配置访问限制，确保这些账号只能通过已批准的IP地址访问存储桶内容。来自未批准IP地址的访问将被拒绝，从而保护您的内容免遭未授权使用。

前置条件

• 您需使用IAM（身份与访问管理）来控制不同账号的访问，这需要提供可用的AccessKey和AccessKey Secret。
• 在使用IAM之前，请确保您准备限制的账号至少拥有一组有效的AccessKey和AccessKey Secret。
• IAM权限仅影响对您的存储桶的直接访问。通过CDN回源的请求不受影响。

如需了解更多关于IAM操作的详细信息，请参阅 IAM文档。

示例场景

为子账号设置基于IP地址的访问限制

假设您需要对子账号“alvin”进行访问限制，仅允许其通过IP地址“27.148.104.22”访问对象存储。请按照以下步骤操作：

1. 登录CDNetworks控制台。进入访问控制 > 权限管理 > 权限策略管理，然后点击权限策略管理以创建新的权限策略。

2. 选择可视化配置，在非CDN产品服务下选择对象存储（wos），然后点击下一步。

   

3. 选择允许、所有操作和所有资源。

   

4. 设置限制条件：

   • 选择SourceIp作为关键字
   • 选择StringNotEquals作为条件
   • 在指定位置输入允许的IP地址“27.148.104.22”
   • 完成表单后，点击下一步继续操作
   

5. 为您的策略命名，然后点击下一步继续。

6. 将该策略分配给“alvin”账号，并点击完成，以完成设置。
   

验证IAM配置

通过控制台访问验证

使用子账号“alvin”登录。当从未授权的IP地址（非“27.148.106.28”）连接时，如配置正确，不会显示任何Bucket，并会提示“无对应访问权限”。

通过文件URL访问验证

从您的存储Bucket中复制任意可访问的文件URL。使用如下命令行，通过非授权IP地址尝试访问该文件：

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

出现403 Forbidden响应说明您的IAM配置已生效且正在正常工作。