本文为您介绍如何设置经典网络和VPC网络的IP白名单。仅Project Owner和Super_Administrator角色有权限执行此操作。

前提条件

  • 已安装MaxCompute客户端,详情请参见安装并配置客户端
  • 已获取如下信息:
    • 经典网络的IP白名单

      您需要将所有要访问项目的设备的IP地址添加至白名单列表,添加后,添加的设备即可访问项目空间。

      • 如果使用MaxCompute客户端访问项目空间,您需要配置部署MaxCompute客户端所在设备的IP地址。
      • 如果使用应用系统访问项目空间,您需要配置部署应用系统Server的设备的IP地址。
      • 部署DataWorks的设备默认在白名单内,您通过DataWorks提交MaxCompute作业不受限制,无需配置白名单。
      • 如果通过代理服务器或多跳代理服务器访问项目空间,您需要配置的IP地址为最后一跳代理服务器的IP地址。
      • 如果通过ECS设备访问MaxCompute服务,您需要配置的IP地址为NAT IP。NAT IP详情请参见弹性公网IP
    • VPC网络的区域ID、VPC ID和IP白名单

      获取详情请参见项目空间操作。您需要将VPC内网IP添加至白名单列表,添加后,添加的设备即可访问项目空间。

背景信息

MaxCompute的安全访问控制有多个层次,例如项目空间的多租户及安全认证机制。仅当获取到正确且经过授权的AccessKey ID及AccessKey Secret时,您才能通过鉴权,并在授权范围内进行数据访问和计算。

在安全访问控制基础上,MaxCompute增加IP白名单控制方式。当MaxCompute项目开启白名单功能时,仅允许白名单内的设备访问项目空间;非白名单内的设备访问项目空间时,即使拥有正确的AccessKey ID及AccessKey Secret,也无法通过鉴权。

经典网络的IP白名单参数为odps.security.ip.whitelist,VPC网络的白名单参数为odps.security.vpc.whitelist

MaxCompute仅支持设置项目级别的IP白名单。支持的IP地址表示形式如下:
  • IPv4或IPv6:例如192.168.0.02001:db8::
  • 带子网掩码的IP地址:例如172.12.0.0/162001:db8::/32
  • 网段:例如192.168.10.0-192.168.255.2552001:db8:1:1:1:1:1:1-2001:db8:4:4:4:4:4:4

添加IP白名单

运行MaxCompue客户端,执行如下命令将IP地址添加至IP白名单中。
  • 如果只配置经典网络IP白名单,则经典网络访问受配置限制,VPC网络访问全部禁止。配置命令示例如下。
    setproject odps.security.ip.whitelist=192.168.0.0 odps.security.vpc.whitelist=\N;
    设置经典网络的IP白名单时,请在IP白名单中添加操作MaxCompute客户端所在的设备IP,以免将自己屏蔽。经典网络配置检查
  • 如果只配置VPC网络IP白名单,则VPC网络访问受配置限制,经典网络访问全部禁止。配置命令示例如下。
    setproject odps.security.ip.whitelist=\N odps.security.vpc.whitelist=cn-beijing_125179[192.168.0.10,192.168.0.20];
  • 如果经典网络或VPC网络IP白名单均需要配置,则经典网络和VPC网络访问均受配置限制。配置命令示例如下。
    setproject odps.security.ip.whitelist=192.168.0.0 odps.security.vpc.whitelist=cn-beijing_125179[192.168.0.10,192.168.0.20];
说明
  • 设置IP白名单后,您需要等待五分钟后才会生效。
  • 如果您因误操作,将自己屏蔽,请提工单联系阿里云技术支持。

查看IP白名单

您可以执行setproject;命令查看IP白名单列表。odps.security.ip.whitelist=odps.security.vpc.whitelist的内容即为白名单列表。如果odps.security.ip.whitelist=odps.security.vpc.whitelist的内容为空,则表示未设置白名单列表。
setproject;
返回结果如下。
odps.security.ip.whitelist=192.168.0.0
odps.security.vpc.whitelist=cn-beijing_125179[192.168.0.10,192.168.0.20]

修改IP白名单

您可以执行setproject命令,分别修改经典网络或VPC网络的IP白名单列表。修改后,旧的IP白名单列表会失效,系统以新的IP白名单列表为准控制访问权限。
  • 修改经典网络IP白名单
    setproject odps.security.ip.whitelist=192.168.0.10;
  • 修改VPC网络IP白名单
    setproject odps.security.vpc.whitelist=cn-beijing_125179[192.168.10.10,192.168.0.20];

关闭IP白名单

执行如下命令关闭IP白名单功能,经典网络和VPC网络访问将不受限制。
setproject odps.security.ip.whitelist= odps.security.vpc.whitelist= ;
说明 经典网络和VPC网络的IP白名单必须同时置为空,才表示关闭了IP白名单功能。