如何使用工蜂访问控制（ACL）

应用场景

工蜂访问控制功能（ACL）可以让项目管理员（owner/master）对协作项目进行更加精准、安全的访问控制管理，使不同类型的成员都能恰当的访问项目仓库，满足不同团队间日益增多的协作研发场景。

需要注意的是，在公司内网环境中，该功能适用场景如下：

​​- DevCloud、云研发机等固定 IP 资产​​：可直接基于 IP 地址配置访问策略，实现精准控制
​​- 办公机器​​：由于公司内部 IP 为动态分配且无法获取真实 IP，ACL 功能在此场景下不适用

功能介绍

因安全策略调整，工蜂合作版上所有项目均已强制开启 ACL 功能（路径：项目设置 - 高级设置 - 访问控制），每个项目的“开启访问控制”开关都默认已勾选且无法关闭。

项目管理员需对需进行协作的腾讯外部用户进行白名单设置，进行设置前，需同意并确认功能免责声明，然后可在“开启访问控制”开关下方的默认访问规则组中的“IP 白名单”或“用户白名单”进行项目访问设置，设置完成后需点击保存变更按钮后才会生效。

注意：新建项目的项目内白名单默认只允许创建人访问，请项目创建人初始化、管理腾讯外部用户的访问权限。

建议针对外包基地、合作方固定职场等协作开发场景，应主要使用设置“IP 白名单”的方式来让外部用户访问项目（“用户白名单”设置场景仅限用于临时居家办公或 IP 频繁变动等场景，存在一定安全隐患，请谨慎使用），即将对应职场的出口 IP 段添加到 IP 白名单中，如不清楚用户所处职场的出口 IP，可通过用户当前访问被拦截提示信息中的 IP 地址进行设置，如下图：

不在白名单中的外部用户，将无法访问项目，出现上图的访问拦截提示以及下图的客户端报错信息：

注意：腾讯内部授信用户访问将不受 ACL 限制，默认可访问合作版上项目，如遇无法访问或其他问题也可访问该指引：项目 ACL 访问控制设置

除默认访问规则组外，还有特定访问规则组，该规则组默认为收起状态，其优先级高于默认访问规则组（优先执行特定访问规则组），主要针对部分业务场景（如云桌面等）存在对项目访问人群的强管控诉求，即部分成员（“特定访问人群名单”中用户）仅能通过指定 IP（“特定访问 IP 名单”中设置 IP）才能访问项目，不能通过其他规则组访问项目，不在“特定访问人群名单”的用户可通过默认访问规则组中设置访问项目。