表格存储自定义权限策略参考

如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍表格存储使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

创建自定义权限策略后，需为RAM用户、用户组或RAM角色绑定权限策略，这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制，您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

创建自定义权限策略
修改自定义权限策略内容和备注
删除自定义权限策略
管理权限策略引用记录
管理自定义权限策略版本

常见自定义权限策略场景及示例

说明

关于典型示例配置的具体操作，请参见自定义RAM Policy。

目前表格存储支持的Policy包括访问IP限制、是否通过HTTPS访问、是否通过MFA（多因素认证）访问、是否通过TLSv1.2和TLSv1.3版本访问、访问时间限制等多种鉴权条件。

访问IP限制

通过自定义权限策略限制访问表格存储的源IP地址，并且支持根据网段进行过滤。典型配置如下：

限制多个IP地址。

以下示例用于只允许IP地址为10.10.XX.XX和10.11.XX.XX的请求访问。

{
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.11.XX.XX"
                ]
            }
        }
    }
],
"Version": "1"
}

限制单个IP地址和IP网段。

以下示例用于只允许IP地址为10.10.XX.XX或10.10.XX.XX/24网段的请求访问。

{
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ots:*",
        "Resource": "acs:ots:*:*:*",
        "Condition": {
            "IpAddress": {
                "acs:SourceIp": [
                    "10.10.XX.XX",
                    "10.10.XX.XX/24"
                ]
            }
        }
    }
],
"Version": "1"
}

HTTPS访问限制

通过自定义权限策略限制是否通过HTTPS访问表格存储。

以下示例用于限制请求必须通过HTTPS访问表格存储。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:SecureTransport": "true"
                }
            }
        }
    ],
    "Version": "1"
}

TLS版本访问限制

通过自定义权限策略限制是否通过TLSv1.2和TLSv1.3版本访问表格存储。

以下示例用于限制请求必须通过TLSv1.2和TLSv1.3版本访问表格存储。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

MFA访问限制

通过自定义权限策略限制是否通过MFA（多因素认证）访问表格存储。

以下示例用于限制请求必须通过MFA访问表格存储。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent ": "true"
                }
            }
        }
    ],
    "Version": "1"
}

访问时间限制

通过自定义权限策略限制请求的访问时间，即只允许或拒绝在某个时间点范围之前的请求。

以下示例用于限制用户在北京时间2016年1月1日零点之前可以访问表格存储，之后将不能再访问。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:*",
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
                }
            }
        }
    ],
    "Version": "1"
}