Предоставление доступа к бакету OBS c определенных IP-адресов

Разрешить доступ к OBS-бакету только с определенных IP-адресов можно с помощью:

В примерах показано, как запретить доступ к бакету со всех IP-адресов, кроме диапазонов 192.168.0.0/24 и 1.1.1.1/32.

С помощью Bucket Policy

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. В разделе Storage выберите Object Storage Service.

  4. Нажмите на название нужного бакета.

  5. Чтобы перейти на страницу управления разрешениями, в панели слева нажмите Permissions.

  6. Нажмите Create и задайте параметры согласно таблице:

    Параметр

    Значение

    Policy Name

    Название политики доступа к бакету.

    Effect

    Deny

    Principal

    All accounts

    Resources

    Entire Bucket (including the objects in it)

    Policy Mode

    Customized

    Actions

    Выберите Customize и нажмите Select Actions. В блоке Common actions активируйте чекбокс * (все действия) и нажмите OK.

    Conditions (Optional)

    Нажмите Add Condition и задайте параметры:

    • KeySourceIp

    • Conditional OperatorNotIpAddress

    • Value — 192.168.0.0/24,1.1.1.1

  7. Нажмите OK и Create для сохранения настроек.

Пример настроек:

../_images/s__custom-bucket-policy__access-to-some-ip.png

Теперь IP-адресам в диапазонах 192.168.0.0/24 и 1.1.1.1/32 доступ к бакету разрешен, а IP-адресам из других диапазонов — запрещен.

С помощью IAM Custom Policy

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. В разделе Management & Deployment выберите Identity and Access Management.

  4. В меню слева перейдите в раздел Permissions → Policies/Roles.

  5. Нажмите Create Custom Policy.

  6. В поле Policy Name задайте название политики доступа.

  7. В блоке Policy Content выберите Allow.

  8. Нажмите Select Existing Policy/Role, выберите политику OBS Administrator и нажмите OK.

    Примечание

    Вы можете настроить политику доступа вручную. Для этого поочередно задайте параметры на вкладках Allow → Select Service → Select Action → Select resource → Add request condition.

  9. Нажмите (Optional) Add request condition.

  10. Нажмите Add request condition и задайте параметры:

    Параметр

    Значение

    Condition Key

    obs:SourceIp

    Qualifier

    Default

    Operator

    IpAddress

    Value

    192.168.0.0/24 и 1.1.1.1/32

  11. Нажмите OK.

  12. Проверьте параметры политики доступа и нажмите OK для ее создания.

  13. Назначьте созданную политику группе пользователей, чтобы правила вступили в силу.

Запустили Evolution free tier
для Dev & Test
Получить