Разрешить доступ к OBS-бакету только с определенных IP-адресов можно с помощью:
В примерах показано, как запретить доступ к бакету со всех IP-адресов, кроме диапазонов 192.168.0.0/24 и 1.1.1.1/32.
С помощью Bucket Policy
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Object Storage Service.
-
Нажмите на название нужного бакета.
-
Чтобы перейти на страницу управления разрешениями, в панели слева нажмите Permissions.
-
Нажмите Create и задайте параметры согласно таблице:
Параметр
Значение
Policy Name
Название политики доступа к бакету.
Effect
Deny
Principal
All accounts
Resources
Entire Bucket (including the objects in it)
Policy Mode
Customized
Actions
Выберите Customize и нажмите Select Actions. В блоке Common actions активируйте чекбокс * (все действия) и нажмите OK.
Conditions (Optional)
Нажмите Add Condition и задайте параметры:
-
Key — SourceIp
-
Conditional Operator — NotIpAddress
-
Value — 192.168.0.0/24,1.1.1.1
-
-
Нажмите OK и Create для сохранения настроек.
Пример настроек:

Теперь IP-адресам в диапазонах 192.168.0.0/24 и 1.1.1.1/32 доступ к бакету разрешен, а IP-адресам из других диапазонов — запрещен.
С помощью IAM Custom Policy
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Identity and Access Management.
-
В меню слева перейдите в раздел Permissions → Policies/Roles.
-
Нажмите Create Custom Policy.
-
В поле Policy Name задайте название политики доступа.
-
В блоке Policy Content выберите Allow.
-
Нажмите Select Existing Policy/Role, выберите политику OBS Administrator и нажмите OK.
ПримечаниеВы можете настроить политику доступа вручную. Для этого поочередно задайте параметры на вкладках Allow → Select Service → Select Action → Select resource → Add request condition.
-
Нажмите (Optional) Add request condition.
-
Нажмите Add request condition и задайте параметры:
Параметр
Значение
Condition Key
obs:SourceIp
Qualifier
Default
Operator
IpAddress
Value
192.168.0.0/24 и 1.1.1.1/32
-
Нажмите OK.
-
Проверьте параметры политики доступа и нажмите OK для ее создания.
-
Чтобы правила вступили в силу, назначьте созданную политику группе пользователей.
- С помощью Bucket Policy
- С помощью IAM Custom Policy