tencent cloud

操作场景

本文档介绍如何通过自定义策略限制子账号访问 IP，设置成功后，子账号将通过所设置的 IP 管理主账号下的资源，或者拒绝子账号通过设置的 IP 管理主账号下资源。

前提条件

需要设置的产品支持按 IP 限制业务访问，详细可参考 常见问题。

操作步骤

1. 进入 策略 管理页面，单击左上角的【新建自定义策略】。
2. 在弹出的选择创建方式窗口中，单击【按策略生成器创建】，进入选择服务和操作页面。
3. 在选择服务和操作页面，补充以下信息。
   • 效果：必填项，选择 "允许"。如选择 "拒绝"，用户或用户组不能获取授权。
   • 服务：必填项，选择需要添加的产品。
   • 操作：必填项，根据您的需求勾选产品权限。
   • 资源：必填项，您可以参考 资源描述方式 填写。
   • 条件：根据您的需求选择条件，输入 IP 地址。可以添加多条限制。例如，效果选择"允许"，仅限使用该 IP 地址的用户或组获取授权。

使用示例

以下示例表示用户必须在 10.217.182.3/24 或者 111.21.33.72/24 网段才能调用云 API 访问 cos:PutObject，如下图：

策略语法如下：

{
 "version": "2.0",
 "statement": [
 {
     "effect": "allow",
     "action": "cos:PutObject",
     "resource": "*",
     "condition": {
         "ip_equal": {
             "qcs:ip": [
                 "10.217.182.3/24",
                 "111.21.33.72/24"
             ]
         }
     }
 }
 ]
}