限制子账号/API秘钥使用固定IP访问（IP白名单）

背景需求：

业务实际场景下，云API秘钥是固定在某些机器上跑，基于安全考虑，可以限制只允许固定的IP能调用API访问。

当前API秘钥暂时没有IP白名单功能，但是子账号的账号权限可以设置限制IP访问，以下为演示操作

功能实现：

通过自定义策略限制IP访问

不适用场景：

内网VPC环境和官网控制台调用，走的是内网，可能会经过网关或网络代理等设备访问到云API，识别到的IP非实际用户的IP。

操作步骤：

1. 在访问管理的策略里，新建自定义策略；

2. 给子账号关联策略；

3. 测试验证；

具体操作：

1. 在访问管理的策略里，新建自定义策略；

进入策略界面，新建自定义策略

https://console.cloud.tencent.com/cam/policy

我们这里新建个COS所有资源的读写操作，仅允许119.45.241.13 IP访问

保存策略名称，此时也可以直接关联给用户，也可以先完成，在用户界面关联权限。

2. 给子账号关联策略；

在用户列表中，进入想要设置的用户，添加权限

https://console.cloud.tencent.com/cam

注意，如果这个子账号已经有其他权限，记得都按自定义策略生成限制IP访问的策略，然后把原来的策略删除。

例如此策略中，这两个是预设的策略，没有IP限制的，如果不解除，这两个权限所有IP都是能调用

3. 测试验证

在授权的119.49.241.13机器上，通过COSbrowser测试，可正常访问COS。

在其他机器上测试

秘钥鉴权会通过，但是会提示没有权限

常见问题：

Q:如何查询我秘钥历史调用的客户端IP

A:可在操作记录里，输入秘钥ID查询

https://console.cloud.tencent.com/cloudaudit