文档中心>访问管理>用户指南>访问密钥>访问密钥网络访问限制策略

访问密钥网络访问限制策略

最近更新时间:2026-07-06 17:04:15

我的收藏
访问密钥网络访问限制策略(AccessKey Network Access Restriction Policy)是腾讯云访问管理(CAM)提供的一项密钥安全加固能力,用于限制永久访问密钥(SecretId 和 SecretKey)的 API 调用来源,配置后,仅允许来自指定公网 IP、公网 IP 段或专有网络 VPC 内网地址的请求使用访问密钥调用腾讯云 API,请求来源不在允许范围内时,系统将拒绝该请求,降低密钥泄露后被非可信网络滥用的风险。
本文介绍访问密钥网络访问限制策略的策略类型、优先级规则、使用限制和配置方法。
说明:
目前访问管理的访问密钥网络访问限制策略模块仅白名单用户可以使用,若您需要使用该功能,可以 联系我们 进行开白。

功能简介

访问密钥网络访问限制策略支持以下两种类型:
策略类型
说明
生效范围
账号级密钥网络访问限制
在账号维度统一配置访问来源限制
对该账号下所有永久访问密钥生效
密钥级密钥网络访问限制
针对指定 SecretId 单独配置访问来源限制
仅对该 SecretId 生效
两种策略可以同时存在。系统校验请求时,会先判断请求使用的 SecretId 是否已配置密钥级密钥网络访问限制:
如果已配置,则仅校验密钥级策略,不再校验账号级策略。
如果未配置,则在账号级密钥网络访问限制开启时,校验账号级策略。
注意:
账号级密钥网络访问限制为全局设置。开启后,该账号下所有未单独配置密钥级策略的永久访问密钥都会受到影响。请在配置前确认所有业务调用来源,避免因 IP 遗漏导致 API 调用失败。

适用范围

生效对象

本功能仅对永久访问密钥生效,包括:
主账号永久访问密钥。
子用户永久访问密钥。

不生效对象

本功能不对以下凭证或访问方式生效:
通过安全凭证服务 STS 获取的临时访问凭证。
通过角色扮演(AssumeRole)获取的临时密钥。
控制台登录行为。
说明:
如需限制控制台登录来源,请使用 CAM 登录保护或登录 IP 限制相关能力。如需限制临时密钥的调用来源,请在 CAM 策略中使用 IP 条件进行控制。

暂不支持的产品

当前访问密钥网络访问限制策略暂不支持以下产品或接口:
对象存储 COS。
日志服务 CLS。
消息队列数据流相关接口。

策略判定流程

系统在 API 请求进入鉴权流程前,会根据 SecretId 执行网络来源校验。判定流程如下图所示

判定规则说明如下:
1. API 请求携带 SecretId 到达鉴权网关。
2. 系统判断该 SecretId 是否配置了密钥级密钥网络访问限制。
已配置:仅使用密钥级策略校验请求来源。命中白名单则放行,未命中则拒绝。
未配置:继续判断账号级密钥网络访问限制是否开启。
3. 如果账号级密钥网络访问限制已开启,则使用账号级策略校验请求来源。命中白名单则放行,未命中则拒绝。
4. 如果账号级密钥网络访问限制未开启,则不执行网络来源限制。

优先级规则

密钥级策略的优先级高于账号级策略。两者不是叠加关系,也不是取交集或取并集关系,而是替代关系。
场景
密钥级策略
账号级策略
实际生效策略
说明
场景一
已配置
已开启
密钥级策略
仅按密钥级策略校验,不再校验账号级策略
场景二
已配置
未开启
密钥级策略
仅按密钥级策略校验
场景三
未配置
已开启
账号级策略
按账号级策略校验
场景四
未配置
未开启
不执行网络来源限制
例如,账号下有 SecretId-A、SecretId-B 和 SecretId-C 三个永久访问密钥。账号级密钥网络访问限制已开启,同时 SecretId-A 单独配置了密钥级策略:
SecretId-A:按密钥级策略校验。
SecretId-B:未配置密钥级策略,按账号级策略校验。
SecretId-C:未配置密钥级策略,按账号级策略校验。

使用限制

账号级密钥网络访问限制

限制项
说明
作用范围
当前账号下所有永久访问密钥
公网策略数量
最多 1 条
专有网络策略数量
最多 8 条
单条策略内 IP 数量
最多 50 个 IP 或 IP 段
支持格式
IPv4、IPv6、IPv4 CIDR 段,例如 10.0.0.0/16

密钥级密钥网络访问限制

限制项
说明
单个密钥可配置策略数量
最多 9 条
公网策略数量
最多 1 条
专有网络策略数量
与总策略数量共享,最多 8 条
单条策略内 IP 数量
最多 50 个 IP 或 IP 段
支持格式
IPv4、IPv6、IPv4 CIDR 段,例如 10.0.0.0/16

注意事项

账号级密钥网络访问限制开启后,将影响当前账号下所有未配置密钥级策略的永久访问密钥。请确认所有业务调用来源后再开启。
如果开启策略但未配置对应的允许来源,可能导致相关来源的 API 请求被拒绝。例如,仅配置 VPC 策略而未配置公网策略时,公网来源请求可能被拒绝。
修改策略后,全网生效可能存在分钟级延迟。建议在业务低峰期进行配置变更。
如果同一密钥已配置密钥级策略,账号级策略不会对该密钥生效。请在排查问题时优先检查密钥级策略。
建议定期检查访问密钥使用情况,及时禁用或删除长期未使用的密钥。
不建议频繁修改同一密钥对应的网络访问限制策略,避免因策略缓存尚未更新导致业务调用结果不符合预期。

配置前准备

配置前,请先梳理可信网络来源,避免遗漏正常业务调用地址。建议按以下方式检查:
检查项
说明
操作审计记录
操作审计 中筛选目标 SecretId 的历史 API 调用记录,统计来源 IP

云上资源出口
确认 CVM、容器服务、NAT 网关、负载均衡等资源的公网出口 IP 或内网地址段
办公网和 VPN 出口
确认企业办公网、VPN、堡垒机等访问出口 IP
自动化任务来源
确认 CI/CD、运维脚本、定时任务、监控系统等自动化调用来源
第三方系统来源
确认外部系统、合作方系统或 SaaS 服务的固定出口 IP
动态 IP 场景
对弹性扩缩容、Serverless、容器等动态来源,建议统一通过固定 NAT 出口访问
选择访问域名
配置网络访问限制策略时,请根据限制类型选择正确的 API 访问域名:
限制类型
限制类型
访问域名要求
限制公网 IP
配置允许访问的公网 IP 或 IP 段
使用公网域名访问腾讯云 API,无需访问 internal 域名
限制内网 IP
配置允许访问的内网 IP 或 IP 段,并选择对应 VPC ID
需使用 internal 域名访问腾讯云 API
如果业务需要通过公网来源调用腾讯云 API,请配置公网策略,并使用公网域名访问。如果业务需要通过 VPC 内网来源调用腾讯云 API,请配置专有网络策略,并通过 internal 域名访问。否则,请求可能无法命中对应的网络访问限制策略。

配置账号级密钥网络访问限制

1. 登录 访问管理控制台,在左侧导航栏中,选择用户 > 用户设置
2. 用户设置页面,单击密钥网络限制,展开密钥网络访问限制页面。

3. 查看账号级密钥网络访问限制当前状态。默认状态下,账号级密钥网络访问限制处于关闭状态。

4. 开启账号级密钥网络访问限制,如下图所示。

5. 按需配置公网策略或专有网络策略:
公网策略:添加允许访问的公网 IP 或 IP 段。

专有网络策略:选择地域和 VPC ID,并添加允许访问的内网 IP 或 IP 段。

6. 配置完成后,确认公网策略和专有网络策略列表无误后,单击应用修改
7. 在弹窗中完成二次确认后,单击开启提交配置。

8. 配置提交后,返回密钥网络限制区域,确认账号级密钥网络访问限制已开启且策略信息正确。

警告:提交账号级配置前,请确认该账号下所有永久访问密钥的调用来源。配置错误可能导致多个业务系统同时调用失败。

配置密钥级网络访问限制策略

2. 在左侧导航栏选择访问密钥 > API 密钥管理,进入 API 密钥管理页面,单击密钥网络限制

说明:
您也可以在左侧导航栏选择用户列表,单击目标子用户名称,进入用户详情页面,再选择 API 密钥页签,进入 API 密钥页面。

3. 密钥网络限制页面,开启密钥级访问限制,开启后当前密钥访问将受本策略管控。
说明:
您也可以在此页面关闭密钥级访问限制,关闭后该密钥不受密钥级策略约束。

4. 在密钥网络限制页面,按需配置以下策略:

公网策略(最多 1 条):填入允许调用的公网 IP 或 CIDR。若启用策略但未填写任何公网 IP,系统将拒绝所有来自公网的请求。
专有网络策略(最多 8 条):从下拉框选择 VPC ID(登录态下会自动拉取 VPC 列表;若账号无 VPC 查询权限,可手动输入,系统不对 VPC ID 的存在性做二次校验),并填入该 VPC 内允许访问的 IP 段,每行最多 50 个 IP。
5. 确认无误后,单击确认
6. 在确认窗口中,输入提示内容以二次确认,单击开启


常见问题(FAQ)

如何确认自己的业务调用属于"公网"还是"专有网络"?

若调用方走公网 Endpoint(例如 cvm.tencentcloudapi.com),来源 IP 为出口公网 IP 或 NAT 网关上的 EIP,属于公网调用,请配置公网策略。
若调用方走 VPC 内网 Endpoint(例如 cvm.internal.tencentcloudapi.com),来源 IP 为 VPC 内部 IP,属于专有网络调用,请配置对应 VPC 策略。
云产品之间互相调用(例如:SCF 调用 COS)的来源 IP 可能是云产品内部地址,此类跨云产品调用推荐优先使用角色扮演(Role + 临时密钥),而不是永久密钥。

账号级策略和密钥级策略同时存在时,哪个生效?

密钥级策略生效。只要指定 SecretId 已配置密钥级密钥网络访问限制,系统就只校验密钥级策略,不再校验账号级策略。

账号级策略是否会影响所有密钥?

会影响当前账号下所有未配置密钥级策略的永久访问密钥。如果某个 SecretId 已配置密钥级策略,则该 SecretId 按密钥级策略校验。

账号级策略能否只对部分密钥生效?

不能。账号级策略是当前账号维度的全局策略,无法直接排除指定 SecretId。如需为指定密钥使用不同的网络限制规则,请为该密钥配置密钥级策略。

API 调用被拒绝时如何排查?

请按以下顺序排查:
1. 确认请求中使用的 SecretId。
2. 检查该 SecretId 是否配置了密钥级密钥网络访问限制。
3. 如果已配置,请检查请求来源是否命中密钥级策略;如果未配置,请检查账号级密钥网络访问限制是否开启,以及请求来源是否命中账号级策略。
4. 通过操作审计查询实际来源 IP,并与策略中配置的 IP 或 IP 段进行比对。

策略提交后多久生效?

提交成功到全局生效之间存在分钟级延迟。期间旧策略与新策略都可能命中,请避开业务高峰进行变更。

临时密钥(STS Token)会受该策略限制吗?

不会。本功能仅对永久密钥(SecretId/SecretKey)生效。如需对临时密钥做更细粒度的控制,请在 CAM 策略语法中使用 qcs:ip 条件键。

功能使用建议

1. 先灰度,再全量:优先在一个测试密钥上开启密钥级策略,确认业务无异常后,再推广到账号级策略。
2. 结合 操作审计 做"自检":启用策略前,请结合操作审计(CloudAudit)分析最近30天的审计日志内抽样核对来源 IP。
3. CI/CD 同步刷新:企业办公出口 IP、CVM EIP 调整后,及时同步到策略白名单,避免发布链路被拦截。
4. 密钥分层治理:为"生产"、"运维"、"外部合作"的密钥采用不同的网络白名单策略,缩小单个密钥失陷后的影响范围。
5. 与其他安全能力联动:建议与 CAM 策略中的 qcs:ip 条件、操作审计告警、密钥定期轮换等能力一起使用,形成纵深防御。