按网络上下文限制访问
基于上下文的限制 为管理员提供了限制对资源的访问权的方法。 如果某些数据只能通过可信网络进行访问该怎么办? 正确配置的策略将限制对数据的所有访问,除非请求源自已核准的 网络区域 和端点类型 (公用,专用或直接)。
此功能当前在 Object Storage 中不支持 Satellite。 了解更多信息。
使用基于上下文的限制
基于上下文的限制 由 规则 和一个或多个 上下文 (网络区域和/或端点类型) 组成。 这些限制不会替换 IAM 策略,而只是检查请求是否来自允许的上下文,例如一系列 IP 地址,VPC 或服务引用。
用户必须对服务具有 Administrator
角色才能创建,更新或删除规则。 用户必须具有 Editor
或 Administrator
角色才能创建,更新或删除网络区域。
基于上下文的限制不支持仅在存储区级别将基于上下文的限制规则应用于特定对象或文件夹。
您可以在 详细文档 中了解有关基于上下文的限制如何工作的更多信息,也可以遵循 快速教程。
生成的审计日志事件将来自基于上下文的限制服务,而不是 Object Storage。
如果没有适用于特定资源的规则,那么访问权由 IAM 策略和旧存储区防火墙的存在确定。
基于上下文的限制仅在存储区级别应用,而不会应用于特定对象或文件夹。
帐户在 可支持的规则数和网络区域数 中受到限制。
存储区防火墙与基于上下文的限制
在提供基于上下文的限制之前,Object Storage 本身将根据 IP 地址实施访问限制。 虽然仍支持此方法,但建议 使用基于上下文的较新限制,而不是旧的存储区防火墙。
存储区防火墙和基于上下文的限制相互独立运行,这意味着可能有一个请求被一个请求允许,而另一个请求被另一个请求拒绝。
- 任何基于上下文的限制都 必须 允许存储区创建请求。
- 对于所有其他存储区或对象请求,基于上下文的限制 和 存储区防火墙都必须允许该请求。
存储区防火墙仍可拒绝基于上下文的限制所允许的 IP 地址。
关于旧存储区防火墙
有一些与设置防火墙相关的规则:
- 设置或查看防火墙的用户必须具有对存储区的
Manager
角色。 - 具有对存储区的
Manager
角色的用户可以通过任何 IP 地址来查看和编辑允许的 IP 地址的列表,以防止意外锁定。 - Object Storage 控制台仍可以访问存储区,前提是用户的 IP 地址经过授权。
- 其他 IBM Cloud 服务无权绕过防火墙。 此限制意味着依赖于 IAM 策略进行存储区访问的其他服务(例如,Aspera、SQL Query、Security Advisor、Watson Studio、Cloud Functions 等)将无法访问存储区。
设置防火墙后,存储区将与 IBM Cloud 的其余部分相隔离。 在启用防火墙之前,请考虑这可能对依赖于其他服务直接访问存储区的应用程序和工作流程有怎样的影响。 可通过改为使用 服务引用和基于上下文的限制 来避免此情况。
来自 VPC 环境的访问可以通过 allowed_network_type
检查,并且可以将 VPC 区域底层 IP 地址添加到 allowed_ip
列表中。 无法限制单个 VPC VSI 或裸机服务器对覆盖 IP 的访问。
首先,确保您具有 Object Storage 的实例,并且至少供应了一个存储区。 否则,请遵循 入门教程 以获取先决条件并熟悉控制台。
使用旧防火墙设置授权 IP 地址的列表
- 首先选择 存储器 以查看资源列表。
- 接下来,从存储菜单中选择具有您的存储区的服务实例。 这将转至 Object Storage 控制台。
- 选择要将访问权限制为授权 IP 地址的存储区。
- 从导航菜单中,选择访问策略。
- 选择授权 IP 选项卡。
- 单击添加 IP 地址,然后选择添加。
- 以 CIDR 表示法指定 IP 地址列表,例如
192.168.0.0/16, fe80:021b::0/64
。 地址可以遵循 IPv4 或 IPv6 标准。 - 单击添加。
- 在控制台中保存地址之前,不会强制实施防火墙。 单击全部保存以强制实施防火墙。
- 请注意,此存储区中的所有对象都只能从这些 IP 地址访问。
使用旧防火墙除去任何 IP 地址限制
- 在授权 IP 选项卡中,选中要从授权列表中除去的任何 IP 地址或范围旁边的框。
- 选择删除,然后通过再次单击删除来确认对话框。
- 在控制台中保存更改之前,不会强制实施更新后的列表。 单击全部保存以强制实施新规则。
- 现在,此存储区中的所有对象都只能从这些 IP 地址访问!
如果未列出授权 IP 地址,那么这意味着正常 IAM 策略将应用于存储区,而不会限制用户的 IP 地址,除非存在基于上下文的限制。
通过 API 设置旧防火墙
防火墙通过 COS 资源配置 API 进行管理。 此新的 REST API 用于配置存储区。
具有manager
角色的用户可以通过任何网络来查看和编辑允许的 IP 地址的列表,以防止意外锁定。