本文为您介绍如何设置公网下IP白名单和VPC网络下的白名单。

前提条件

仅Owner和Super_Administrator角色有权限执行此操作。

背景信息

MaxCompute安全访问控制有多个层次,例如项目空间的多租户及安全认证机制。只有获取了正确的且经过授权的AccessKey ID及Access Secret才能通过鉴权,在已经赋予的权限范围内进行数据访问和计算。在以上访问认证基础上,MaxCompute增加了以IP白名单的方式进行访问控制的配置方法和策略。设置后,仅允许白名单内的IP地址进行访问。如果不是白名单内的IP地址发起访问,即使拥有正确的AccessKey ID及Access Secret,访问也会被拒绝。公网下IP白名单参数为odps.security.ip.whitelist,VPC网络下白名单参数为odps.security.vpc.whitelist
目前,MaxCompute仅支持Project级别的IP白名单。支持的IP地址(包括IPv4和IPv6地址)形式如下:
  • 单独IP地址。例如101.132.236.134FE80:0202:B3FF:FE1E:8329
  • IP地址段。例如100.116.0.0/16FE80:0101:4567:F456:0202:B3FF:1111:1111/126
  • 带子网掩码的IP地址。例如101.132.236.134-101.132.236.144FE80:0101:4567:F456:0202:B3FF:FE1E:8330-FE80:0101:4567:F456:0202:B3FF:FE1E:8331

设置IP白名单

请按照如下步骤设置公网下的IP白名单。

  1. 获取需要写入白名单的IP地址。
    • 如果使用MaxCompute客户端进行项目空间数据访问,需要配置本地机器的IP地址。
    • 如果使用应用系统进行项目空间数据访问,需要配置应用系统所在的部署SERVER机器的IP地址。
    • DataWorks的机器默认在白名单内,因此通过DataWorks提交MaxCompute任务不会受此限制,无需配置白名单。
    • 如果使用了代理服务器或者经过了多跳代理服务器来访问MaxCompute服务实例,需要配置的IP地址为最后一跳代理服务器的IP地址。
    • 如果是ECS机器中访问MaxCompute服务,需要配置的IP地址为NAT IP。
  2. 设置IP白名单。登录MaxCompute客户端,执行如下命令将IP地址添加至IP白名单中。假设要添加的IP地址为101.132.236.134 
    setproject odps.security.ip.whitelist=101.132.236.134;

    MaxCompute支持在一条命令中添加3种不同的IP地址格式,多个IP地址之前用,隔开。 

    setproject odps.security.ip.whitelist=101.132.236.134,100.116.0.0/16,101.132.236.134-101.132.236.144;
    说明
    • 设置IP白名单后,您需要等待五分钟后才会生效。
    • 设置时请在白名单加上自己当前操作客户端IP,以免将自己屏蔽。如果您误操作,将自己屏蔽,请通过工单向阿里云技术支持寻求帮助。
  3. 查看IP白名单。您可以通过如下命令查看odps.security.ip.whitelist=内容,等号后为IP地址。如果等号后面为空,则表示未设置白名单列表。 
     setproject;
  4. 执行如下命令清空IP白名单。IP白名单清空后,MaxCompute会认为Project关闭了白名单功能。 
    setproject odps.security.ip.whitelist=; 

设置VPC IP白名单

请按照如下步骤设置VPC网络下的IP白名单。

  1. 获取Region ID。请根据您所在的区域,参考下表获取您的Region ID。
    Region Region ID
    张北 cn-zhangjiakou
    北京 cn-beijing
    深圳 cn-shenzhen
    成都 cn-chengdu
    上海 cn-shanghai
    杭州 cn-hangzhou
    上海中心 cn
  2. 获取VPC_ID。
    • 如果您是首次设置VPC IP,请登录MaxCompute客户端,执行如下命令获取VPC_ID。 
      whoami;

      返回结果如下。

      VPC_ID 结果
      说明 此命令需要客户端版本为v0.31.2及以上才可以使用。
    • 如果需要在已有的白名单中新增VPC IP,您可以通过新VPC IP访问MaxCompute时返回的错误信息获取Region和ID。因为新的IP未被授权,访问时会报错。报错信息
  3. 执行如下命令设置VPC IP白名单。 
    setproject odps.security.vpc.whitelist=cn-beijing_125179[192.168.10.102,192.168.0.10];

    其中,cn-beijing为用户所在Region ID,125179为VPC_ID,192.168.10.102192.168.0.10为VPC内网IP地址。

    MaxCompute支持在一条命令中添加多个IP地址格式,多个IP地址之前用,隔开。 
    setproject odps.security.vpc.whitelist=cn-beijing_125179[192.168.10.102,192.168.0.10],cn-chengdu_461230[172.16.1.100,172.16.30.200];
    说明
    • 设置IP白名单后,您需要等待五分钟后才会生效。
    • 设置时请在白名单加上自己当前操作客户端IP,以免将自己屏蔽。如果您误操作,将自己屏蔽,请通过工单向阿里云技术支持寻求帮助。
  4. 查看IP白名单。您可以通过如下命令查看odps.security.vpc.whitelist=内容,等号后为IP地址。如果等号后面为空,则表示未设置白名单列表。 
     setproject;
  5. 执行如下命令清空IP白名单。IP白名单清空后,MaxCompute会认为Project关闭了白名单功能。 
    setproject odps.security.ip.whitelist=;