Object Storage有时充当 CDN 的起源。在这种情况下，对Object Storage中存储的内容的访问最好仅限于 CDN 和选定的用户，从而确保Object Storage中文件的安全性。
本教程将指导您如何为特定帐户配置访问限制，确保他们只能通过批准的 IP 地址访问您的存储桶中的内容。通过未经批准的 IP 地址访问内容的尝试将被彻底拒绝，从而保护您的内容免遭未经授权的使用。

在你开始之前

在开始之前，请务必注意以下注意事项：

• 我们将使用 IAM（身份和访问管理）来控制不同帐户的访问，这需要一对可用的 AccessKey 和 AccessKey Secret。因此，在使用 IAM 之前，请确保您要限制的账户至少拥有一组这些凭证。
• IAM 授权仅影响对存储桶的直接访问。 CDN回源不受影响。

有关 IAM 操作的更多详细信息，请参阅IAM 文档。

例子

假设我们需要限制子账户“alvin”，使其只能通过IP地址“27.148.104.22”访问存储。请按照以下步骤来实现此目的：

1. 登录 CDNetworks 控制台并导航至“IAM”>“权限”>“策略”，然后单击“添加策略”以创建新的权限策略。
2. 选择“可视化”，在“非CDN产品服务”下选择“Object Storage（wos）”，然后单击“下一步”。
   
3. 选择“可视化”，在“非CDN产品服务”下选择“Object Storage（wos）”，然后单击“下一步”。
   
4. 通过选择“SourceIp”作为关键字、“StringNotEquals”作为条件来添加限制条件，并在提供的空白处输入允许的 IP 地址“27.148.104.22”。填写表格并单击“下一步”继续。
   
5. 相应地命名您的策略，然后单击“下一步”进入下一步。
6. 通过选择目标帐户并通过“完成”完成该过程，将此权限分配给目标帐户。
   

要验证 IAM 配置的有效性，请考虑以下测试：
在控制台上验证
登录子账户“alvin”。如果尝试使用未经授权的 IP 地址（例如“27.148.104.22”除外）通过控制台访问Object Storage，导致不显示任何存储桶并显示“没有相应的访问权限”的通知，则您的 IAM 权限正确放。

通过访问文件 URL 进行验证
从存储桶中的任何文件复制可访问的 URL，并尝试通过该 URL 访问该文件，例如使用命令行：

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

403 Forbidden 响应确认 IAM 配置处于活动状态并且按预期运行。