Oracle Cloud Infrastructure - Dokumentation

Netzwerkquellen verwalten

In diesem Thema werden die Grundlagen der Arbeit mit Netzwerkquellen beschrieben.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Netzwerkquellen. Um Policys speziell für Netzwerkquellen zu schreiben, verwenden sie den Ressourcentyp network-sources, der mit den anderen IAM-Komponenten gefunden wird, unter Details für IAM ohne Identitätsdomains.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Ressourcen taggen

wenden Sie Tags auf Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Sie können Tags anwenden, wenn Sie eine Ressource erstellen, und Sie können eine Ressource später aktualisieren, um Tags hinzuzufügen, zu ändern oder zu entfernen. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Einführung in Netzwerkquellen

Eine Netzwerkquelle ist eine Gruppe definierter IP-Adressen. Bei den IP-Adressen kann es sich um öffentliche IP-Adressen oder IP-Adressen von VCNs in Ihrem Mandanten handeln. Nachdem Sie die Netzwerkquelle erstellt haben, können Sie sie in Policys oder in den Authentifizierungseinstellungen Ihres Mandanten referenzieren, um den Zugriff basierend auf der ursprünglichen IP-Adresse zu kontrollieren.

Netzwerkquellen können nur im Mandanten (oder Root Compartment) erstellt werden und sich wie andere IAM-Ressourcen in der Hauptregion befinden. Informationen zur Anzahl der Netzwerkquellen, die Sie haben können, finden Sie unter Limits für IAM ohne Identitätsdomains.

Mit Netzwerkquellen können Sie Ihren Mandanten wie folgt sichern:

  • Geben Sie die Netzwerkquelle in der IAM-Policy an, um den Zugriff auf Ressourcen einzuschränken.

    Sofern dieses in einer Policy angegeben wurde, prüft IAM, dass Anforderungen für den Zugriff auf eine Ressource von einer zulässigen IP-Adresse stammen.

    Beispiel: Sie können den Zugriff auf Object Storage-Buckets in Ihrem Mandanten nur auf Benutzer einschränken, die über Ihr Unternehmensnetzwerk bei Oracle Cloud Infrastructure angemeldet sind. Sie können auch bestimmen, dass nur Ressourcen, die zu bestimmten Subnetzen eines bestimmten VCN gehören, Anforderungen über ein Servicegateway stellen können.

  • Geben Sie die Netzwerkquelle in die Authentifizierungseinstellungen Ihres Mandanten an, um das Anmelden bei der Konsole einzuschränken.

    Sie können die Authentifizierungs-Policy Ihres Mandanten so einrichten, dass eine Anmeldung bei der Konsole nur mit der in Ihrer Netzwerkquelle angegebenen IP-Adresse möglich ist. Benutzern, die versuchen, sich mit einer IP-Adresse anzumelden, die nicht in der Liste der zulässigen IP-Adressen in der Netzwerkquelle enthalten ist, wird der Zugriff verweigert. Informationen zur Verwendung einer Netzwerkquelleneinschränkung in Authentifizierungs-Policys finden Sie unter Authentifizierungseinstellungen verwalten.

Zugriff auf Ressourcen nur mit angegebenen IP-Adressen zulassen

Um den Zugriff auf Anforderungen einer Gruppe von IP-Adressen einzuschränken, gehen Sie wie folgt vor:

  1. Erstellen Sie eine Netzwerkquelle, die die zulässigen IP-Adressen angibt.
  2. Schreiben Sie eine Policy, die die Netzwerkquellvariable in einer Bedingung verwendet.

1. Netzwerkquelle erstellen

Befolgen Sie die Anweisungen für die Konsole oder API, um die Netzwerkquelle zu erstellen.

Eine einzelne Netzwerkquelle kann IP-Adressen von einem bestimmten VCN und/oder einer öffentlichen IP-Adresse enthalten.

Um das VCN anzugeben, benötigen Sie die VCN-OCID und die Subnetz-IP-Bereiche, die Sie zulassen möchten.

Beispiele:

  • Öffentliche IP-Adressen oder CIDR-Blöcke: 192.0.2.143 oder 192.0.2.0/24
  • VCN-OCID: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

    • Subnetz-IP-Adressen oder CIDR-Blöcke: 10.0.0.4,10.0.0.0/16

      Verwenden Sie 0.0.0.0/0, um eine IP-Adresse von einem bestimmten VCN zuzulassen.

2. Policy schreiben

Der IAM-Service umfasst eine Variable zur Verwendung in Policys, mit denen Sie den Geltungsbereich der Policy mithilfe einer Bedingung einschränken können. Die Variable lautet:

request.networkSource.name

Nachdem Sie die Netzwerkquelle erstellt haben, können Sie den Geltungsbereich von Policys einschränken, indem Sie diese Variable in einer Bedingung verwenden. Beispiel: Angenommen, Sie erstellen eine Netzwerkquelle namens "corpnet". Sie können Benutzern der Gruppe "CorporateUsers" nur dann den Zugriff auf Ihre Object Storage-Ressourcen gewähren, wenn ihre Anforderungen von IP-Adressen stammen, welche Sie in corpnet angegeben haben. Schreiben Sie dazu eine Policy wie die folgende: 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Mit dieser Policy können Benutzer in der CorporateUsers-Gruppe Object Storage-Ressourcen nur wenn ihre Anforderungen von einer zulässigen IP-Adresse stammen, die in der Netzwerkquelle "corpnet" angegeben ist, verwalten. Anforderungen außerhalb der angegebenen IP-Bereiche werden abgelehnt. Allgemeine Informationen zum Schreiben von Policys finden Sie unter Funktionsweise von Policys.

Netzwerkquellen mit der Konsole verwalten

So erstellen Sie eine Netzwerkquelle
  1. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Netzwerkquellen aus. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Wählen Sie Netzwerkquelle erstellen aus.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für die Netzwerkquelle. Der Name muss innerhalb Ihres Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Geben Sie keine vertraulichen Informationen ein.
    • Beschreibung: Eine aussagekräftige Beschreibung. Sie können diese später bei Bedarf ändern.
    • Netzwerktyp: Wählen Sie eine der folgenden Optionen:

      • Öffentliches Netzwerk: Geben Sie eine bestimmte IP-Adresse oder einen CIDR-Blockbereich an. Beispiel: 192.0.2.143.

        Wählen Sie + Weitere IP-Adresse/Weiterer CIDR-Block, um eine weitere zulässige Adresse oder einen weiteren zulässigen Bereich hinzuzufügen.

      • Virtuelles Cloud-Netzwerk: Geben Sie für diese Option Folgendes ein:

        • VCN-OCID: Geben Sie die OCID aus dem VCN ein, die Sie zulassen möchten.

          Beispiel: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • IP-Adresse/CIDR-Block: Geben Sie eine IP-Adresse aus dem VCN oder einen CIDR-Block für ein Subnetz ein. Beispiel: 10.0.0.0/16 oder 10.0.0.4.

          Wenn Sie alle Subnetze aus dem angegebenen VCN zulassen möchten, geben Sie 0.0.0.0/0 ein.

          Wählen Sie + Weitere IP-Adresse/Weiterer CIDR‑Block, um eine weitere zulässige Adresse oder den Bereich aus demselben VCN hinzuzufügen.

  4. Um dieser Netzwerkquelle weitere IP-Bereiche hinzuzufügen, wählen Sie Quelle hinzufügen aus.
  5. Erweiterte Optionen anzeigen: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, können Sie auch Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  6. Wählen Sie Erstellen.
So aktualisieren Sie eine Netzwerkquelle
  1. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Netzwerkquellen aus. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Suchen die Netzwerkquelle in der Liste, und wählen Sie ihren Namen aus, um die zugehörigen Details anzuzeigen.
  3. Bearbeiten Sie die Netzwerkquelle:
    • Um dieser Netzwerkquelle weitere zulässige IP-Adressen hinzuzufügen, wählen Sie Quellen hinzufügen. Wählen Sie im Dialogfeld Quellen hinzufügen erneut die Option Quelle hinzufügen, und geben Sie die Details für jede IP-Adresse oder jedem CIDR-Block ein.
    • Um eine zulässige Quelle zu entfernen, wählen Sie das Menü Aktionen (drei Punkte) und dann Löschen aus.
So löschen Sie eine Netzwerkquelle
  1. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus. Die Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie die Netzwerkquelle in der Liste, und wählen Sie das Menü Aktionen (drei Punkte) für das Element aus.
  3. Wählen Sie Löschen aus.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

API verwenden

Informationen zur Verwendung der API und Zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Mit den folgenden API-Vorgängen können Sie Netzwerkquellen verwalten:

Netzwerkquellobjekt erstellen

Ein Netzwerkquellobjekt sieht wie im folgenden Beispiel aus:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Die Elemente sind:

  • virtualSourceList - Gibt das VCN (OCID) und die Subnetz-IP-Bereiche in diesem VCN an, für die der Zugriff zulässig ist. Die virtualSourceList muss sowohl die VCN-OCID als auch die Subnetz-IP-Bereiche enthalten:
    • vcnID - Die OCID des VCN
    • IpRanges: Durch Komma getrennte Liste der IP-Adressen oder CIDR-Blöcke der Subnetze, die zu dem angegebenen VCN gehören und auf die Ressource zugreifen dürfen. Um alle Bereiche im angegebenen VCN zuzulassen, geben Sie 0.0.0.0/0 ein.
  • publicSourceList: Durch Komma getrennte Liste der öffentlichen IP-Bereiche, für die der Zugriff zulässig ist.

Beispiel:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}