利用基于上下文的限制来保护资源
本教程将指导您如何使用基于上下文的限制作为对资源的另一层保护。 通过完成本教程,您将了解如何创建网络区域和规则,以根据上下文以及 IAM 身份来定义对特定资源的访问限制。 有关更多信息,请参阅 什么是基于上下文的限制?
本教程使用名为 Xander 的虚构帐户所有者。 Xander 先前通过使用 IAM 策略为需要 administrator 角色的管理员设置了对帐户管理服务的访问权。
Xander 相信他的团队可以正确管理他们的个人和服务凭证,但他希望确保他们受到保护,即使凭证管理不当。 由于 Xander 知道团队使用的 IP 地址,因此 Xander 可以根据访问请求的网络位置来限制对访问管理服务的访问。 这样,访问策略创建仅限于他定义的 IP 地址。 由于 IAM 访问权和基于上下文的限制都必须允许访问权,因此基于上下文的限制提供了保护,即使在凭证受损或管理不当的情况下也是如此。
准备工作
设置 Activity Tracker 以监视已启用且仅报告的规则。 有关更多信息,请参阅 监视基于上下文的限制。
创建网络区域
首先,为团队创建一个新的网络区域。
- 在 IBM Cloud 控制台中,单击 管理 > 基于上下文的限制
- 转至 网络区域,然后单击 创建。
- 将网络区域命名为
management-team-zone - 输入团队必须使用的 IP 地址:
- Austin 中的团队成员使用以下 IP 地址: 4.4.4.1-4.4.4.99
- 另一个建筑物中的 Austin 团队成员使用以下子网: 204.17.5.0/24
- 远程团队成员使用以下 IP 地址: 3.3.3.56
- 单击下一步。
- 查看网络区域的详细信息。
- 单击创建。
创建规则
现在,Xander 可以使用他在规则中创建的网络区域。
-
转至 规则,然后单击 创建。
-
要限制对创建 IAM 策略的访问权,请选择 IAM 访问权管理服务。
-
单击继续。
-
Xander 在其网络区域中有公共端点,因此他将端点类型切换开关设置为 No,这允许来自任何端点类型的请求。
-
选择网络区域
management-team-zone。 -
单击 添加 以在规则中包含上下文配置。
-
单击继续。
-
命名规则
Management team -
将实施设置为 仅报告,以便您可以在启用规则之前监视其影响。 您可以在创建规则后随时更新实施。 有关更多信息,请参阅 更新基于上下文的限制。
-
单击继续。
-
然后,单击创建。
Xander 是使用仅报告方式来记录和监视策略管理请求。 由于管理团队具有正确的访问策略和使用允许的 IP 地址,因此他们有权执行策略管理操作。 启用此规则时,将拒绝来自与 Xander 定义的条件不匹配的 IP 地址的所有策略管理请求。
后续步骤
在监视 30 天后,将规则更新为 已启用 以开始实施限制。
您还可以使用网络区域来限制帐户级别和用户级别的访问权。 有关更多信息,请参阅 允许特定 IP 地址。
要以编程方式创建基于上下文的限制,请参阅 基于上下文的限制 API 和 基于上下文的限制 CLI 插件。
有关在安全策略中实施基于上下文的限制的更多信息,请参阅解决方案教程 通过应用基于上下文的限制增强云安全性。