CDNK博客
在阿里云中,若想实现“指定IP登录”,通常是指限制对云服务器(ECS)、数据库、控制台等资源的访问,仅允许特定的公网IP地址进行连接或登录。以下是几种常见场景的设置方法:
一、限制 ECS 实例的远程登录(如 SSH/RDP)仅允许指定 IP
方法:通过安全组(Security Group)设置
-
登录阿里云控制台
- 访问 https://ecs.console.aliyun.com
-
找到目标 ECS 实例
- 进入实例详情页,查看其所属的「安全组」。
-
配置安全组规则
- 进入「安全组」管理页面。
- 找到对应的安全组,点击「配置规则」→「入方向」。
-
添加以下规则(以 SSH 为例):
授权策略 协议类型 端口范围 授权类型 授权对象 允许 SSH (22) 22/22 地址段访问 你的IP/32示例:如果你的公网 IP 是
123.123.123.123,则填写123.123.123.123/32若允许多个 IP,可添加多条规则或使用 CIDR 段(如
123.123.123.0/24)
-
删除或禁用默认放行规则
- 删除或修改原有的
0.0.0.0/0对 22 或 3389 端口的开放规则,防止被暴力破解。
- 删除或修改原有的
✅ 效果:只有你指定的 IP 可以通过 SSH(Linux)或 RDP(Windows)连接到该服务器。
二、限制数据库(如 RDS)仅允许指定 IP 访问
方法:通过 RDS 白名单设置
- 登录阿里云 RDS 控制台:https://rds.console.aliyun.com
- 选择目标数据库实例。
- 在左侧点击「数据安全性」→「白名单设置」。
- 编辑默认白名单组(default):
- 删除
0.0.0.0/0 - 添加你的公网 IP,格式为:
xxx.xxx.xxx.xxx/32 - 支持多个 IP,每行一个
- 删除
- 保存并重启实例(部分修改需重启生效)
✅ 效果:只有白名单中的 IP 可以连接该数据库。
三、限制阿里云控制台登录 IP(账号级别)
⚠️ 阿里云主账号默认不支持直接限制“仅指定 IP 登录控制台”。但可以通过以下方式增强安全性:
方案 1:使用 RAM 用户 + 多因素认证(MFA)
- 创建 RAM 子用户,分配最小权限。
- 强制开启 MFA。
- 结合「访问控制(RAM Policy)」限制登录来源 IP。
方案 2:通过 RAM Policy 限制 IP 访问 API/控制台
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"acs:SourceIp": ["123.123.123.123"]
}
}
}
]
}将此策略附加给 RAM 用户,表示:除非来自
123.123.123.123,否则拒绝所有操作
? 注意:
- 此策略不能用于主账号。
SourceIp是客户端公网 IP,需固定 IP 环境使用。
四、其他服务(如 OSS、API 网关等)
大多数阿里云服务支持通过 RAM + Policy + SourceIp 限制 来实现 IP 白名单访问。
例如 OSS Bucket Policy 中可添加:
"Condition": {
"IpAddress": {
"acs:SourceIp": "123.123.123.123/32"
}
}总结:如何实现“指定 IP 登录”
| 目标 | 实现方式 |
|---|---|
| ECS 远程登录(SSH/RDP) | 安全组限制源 IP |
| RDS 数据库访问 | RDS 白名单设置 |
| 控制台/API 访问 | RAM 用户 + Policy 限制 SourceIp |
| OSS、SLB 等服务 | Bucket Policy / ACL / 访问控制 |
? 建议:
- 使用固定公网 IP(如企业宽带或 NAT 网关出口)
- 避免使用
0.0.0.0/0开放端口 - 启用日志审计与云防火墙进一步防护
如需更高级的网络控制,可考虑使用 云防火墙 或 Web 应用防火墙(WAF)。
如有具体服务类型,可提供更详细配置指导。