在使用OSS的时候，我们可能会遇到这种情况：公司内部的机密文件仅允许员工在企业内部访问。但是由于员工太多，单独针对每个账号设置权限，工作量太大大。此时我们可以通过Bucket Policy添加允许IP的条件进行限制。

控制台设置

首先，登录对象存储控制台，选择已创建的Bucket名称，点击文件管理→授权→新增授权，选择授权资源为整个Bucket。授权用户选择所有用户，权限选择只读权限，条件选择IP等于。

若限定在阿里云内网访问，则此处IP设置ECS等网络的内网IP地址；若限定外网访问，则源IP地址设置公司外网出口地址；多个IP请用英文的逗号(,)隔开（IP地址段可用CIDR格式）。单击确定完成操作。

通过OSSutil验证

以Windows7 64位系统为例，使用ossutil连接被授权账号，输入命令：ossutil64.exe cp oss://20181029/abc d:\ -r，意思是复制所有文件到D盘，提示下载成功。

现在我们更改一下授权策略的源IP，看一下效果。

现在可以看到下载文件已经提示失败。

查看D盘也能看到没有成功下载。

更多信息参见：对象存储 OSS > 使用Bucket Policy授权其他用户访问OSS资源