访问密钥网络访问限制策略(AccessKey Network Access Restriction Policy)是腾讯云访问管理(CAM)提供的一项密钥安全加固能力。您可以将永久 AccessKey 的可用范围收敛到可信的网络地址内(公网 IP 或 VPC 内网地址段),当请求来源不在策略中时,系统会在签名鉴权前直接拦截该次调用,从源头阻止因密钥泄露而导致的越权调用与资产损失。
能力范围
为避免误操作影响业务,使用本功能前请确认以下生效范围:
项目 | 说明 |
生效对象 | 仅对永久密钥(SecretId/SecretKey)生效。 |
不生效对象 | 通过 STS 获取的临时访问凭证、角色扮演(AssumeRole)得到的临时密钥不受限制。 |
控制台登录 | |
暂不支持的云产品 | 对象存储 COS、日志服务 CLS、消息队列数据流相关接口。 |
规格与限制
限制项 | 上限 |
单个密钥可配置的策略总数 | 最多 8 条 |
公网策略条数 | 最多 1 条 |
专有网络(VPC)策略条数 | 与总数共享,最多 8 条 |
单条策略内可填写的 IP 或 IP 段 | 最多 50 个 |
IP 格式 | 支持 IPv4、IPv6、IPv4 CIDR 段(例如:10.0.0.0/16) |
配置前准备
为避免策略上线后阻塞线上业务,建议您提前梳理一份"可信来源 IP 清单":
1. 打开 操作审计(CloudAudit)控制台,筛选目标 SecretId 的历史调用记录,统计已经实际出现过的源 IP。
2. 结合自建机房、CVM/EKS 出口、NAT 网关、办公网出口、第三方 SaaS 回调 IP 等信息,补全可能但尚未出现过的 IP。
3. 建议先在灰度密钥或测试密钥上完成一次演练,确认无误后,再推广至生产密钥。
配置密钥级网络访问限制策略
1. 登录 访问管理 CAM 控制台。
2. 在左侧导航栏选择 API 密钥管理,进入 API 密钥管理页面,单击密钥网络限制。
说明:
您也可以在左侧导航栏选择用户列表,单击目标子用户名称,进入用户详情页面,再选择 API 密钥页签,进入 API 密钥页面。
3. 在密钥网络限制页面,开启密钥级访问限制,开启后当前主账号下所有密钥统一受本策略管控。
说明:
您也可以在此页面关闭密钥级访问限制,关闭后所有密钥不受密钥级策略约束。
4. 在密钥网络限制页面,按需配置以下策略:
公网策略(最多 1 条):填入允许调用的公网 IP 或 CIDR。若启用策略但未填写任何公网 IP,系统将拒绝所有来自公网的请求。
专有网络策略(最多 8 条):从下拉框选择 VPC ID(登录态下会自动拉取 VPC 列表;若账号无 VPC 查询权限,可手动输入,系统不对 VPC ID 的存在性做二次校验),并填入该 VPC 内允许访问的 IP 段,每行最多 50 个 IP。
5. 确认无误后,单击确认。
6. 在确认窗口中,输入提示内容以二次确认,单击开启。
常见问题(FAQ)
如何确认自己的业务调用属于"公网"还是"专有网络"?
若调用方走公网 Endpoint(例如 cvm.tencentcloudapi.com),来源 IP 为出口公网 IP 或 NAT 网关上的 EIP,属于公网调用,请配置公网策略。
若调用方走 VPC 内网 Endpoint(例如 cvm.internal.tencentcloudapi.com),来源 IP 为 VPC 内部 IP,属于专有网络调用,请配置对应 VPC 策略。
云产品之间互相调用(例如:SCF 调用 COS)的来源 IP 可能是云产品内部地址,此类跨云产品调用推荐优先使用角色扮演(Role + 临时密钥),而不是永久密钥。
策略提交后多久生效?
提交成功到全局生效之间存在分钟级延迟。期间旧策略与新策略都可能命中,请避开业务高峰进行变更。
临时密钥(STS Token)会受该策略限制吗?
不会。本功能仅对永久密钥(SecretId/SecretKey)生效。如需对临时密钥做更细粒度的控制,请在 CAM 策略语法中使用 qcs:ip 条件键。
功能使用建议
1. 先灰度,再全量:优先在一个测试密钥上开启密钥级策略,确认业务无异常后,再推广到账号级策略。
2. 结合 操作审计 做"自检":启用策略前,请结合操作审计(CloudAudit)分析最近30天的审计日志内抽样核对来源 IP。
3. CI/CD 同步刷新:企业办公出口 IP、CVM EIP 调整后,及时同步到策略白名单,避免发布链路被拦截。
4. 密钥分层治理:为"生产"、"运维"、"外部合作"的密钥采用不同的网络白名单策略,缩小单个密钥失陷后的影响范围。
5. 与其他安全能力联动:建议与 CAM 策略中的 qcs:ip 条件、操作审计告警、密钥定期轮换等能力一起使用,形成纵深防御。
