Oracle Cloud Infrastructure - Dokumentation

Netzwerkquellen verwalten

In diesem Thema werden die Grundlagen der Arbeit mit Netzwerkquellen beschrieben.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Netzwerkquellen. Um Policys speziell für Netzwerkquellen zu schreiben, verwenden Sie den Ressourcentyp network-sources. Sie finden ihn bei den anderen IAM-Komponenten unter Details zu IAM ohne Identitätsdomains.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Ressourcen taggen

Wenden Sie Tags auf Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Sie können Tags beim Erstellen einer Ressource anwenden und eine Ressource später aktualisieren, um Tags hinzuzufügen, zu ändern oder zu entfernen. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Einführung in Netzwerkquellen

Eine Netzwerkquelle ist eine Gruppe definierter IP-Adressen. Bei den IP-Adressen kann es sich um öffentliche IP-Adressen oder IP-Adressen von VCNs in Ihrem Mandanten handeln. Nachdem Sie die Netzwerkquelle erstellt haben, können Sie sie in Policys oder in den Authentifizierungseinstellungen Ihres Mandanten referenzieren, um den Zugriff basierend auf der ursprünglichen IP-Adresse zu kontrollieren.

Netzwerkquellen können nur im Mandanten (oder Root Compartment) erstellt werden und sich wie andere IAM-Ressourcen in der Hauptregion befinden. Informationen zur Anzahl der Netzwerkquellen, die Sie haben können, finden Sie unter Limits für IAM ohne Identitätsdomains.

Mit Netzwerkquellen können Sie Ihren Mandanten wie folgt sichern:

  • Geben Sie die Netzwerkquelle in der IAM-Policy an, um den Zugriff auf Ressourcen einzuschränken.

    Sofern dies in einer Policy angegeben wurde, prüft IAM, dass Anforderungen für den Zugriff auf eine Ressource von einer zulässigen IP-Adresse stammen.

    Beispiel: Sie können den Zugriff auf Object Storage-Buckets in Ihrem Mandanten nur auf Benutzer einschränken, die über Ihr Unternehmensnetzwerk bei Oracle Cloud Infrastructure angemeldet sind. Sie können auch bestimmen, dass nur Ressourcen, die zu bestimmten Subnetzen eines bestimmten VCN gehören, Anforderungen über ein Servicegateway stellen können.

  • Geben Sie die Netzwerkquelle in den Authentifizierungseinstellungen Ihres Mandanten an, um die Anmeldung bei der Konsole einzuschränken.

    Sie können die Authentifizierungs-Policy Ihres Mandanten so einrichten, dass eine Anmeldung bei der Konsole nur mit den in der Netzwerkquelle angegebenen IP-Adressen möglich ist. Benutzern, die versuchen, sich mit einer IP-Adresse anzumelden, die nicht in der Liste der zulässigen IP-Adressen in der Netzwerkquelle enthalten ist, wird der Zugriff verweigert. Informationen zur Verwendung einer Netzwerkquelleneinschränkung in Authentifizierungs-Policys finden Sie unter Authentifizierungseinstellungen verwalten.

Zugriff auf Ressourcen nur mit angegebenen IP-Adressen zulassen

Um den Zugriff auf Anforderungen einer Gruppe von IP-Adressen einzuschränken, gehen Sie wie folgt vor:

  1. Erstellen Sie eine Netzwerkquelle, die die zulässigen IP-Adressen angibt.
  2. Schreiben Sie eine Policy, die die Netzwerkquellvariable in einer Bedingung verwendet.

1. Netzwerkquelle erstellen

Befolgen Sie die Anweisungen für die Konsole oder API, um die Netzwerkquelle zu erstellen.

Eine einzelne Netzwerkquelle kann IP-Adressen von einem bestimmten VCN und/oder einer öffentlichen IP-Adresse enthalten.

Um das VCN anzugeben, benötigen Sie die VCN-OCID und die Subnetz-IP-Bereiche, die Sie zulassen möchten.

Beispiele:

  • Öffentliche IP-Adressen oder CIDR-Blöcke: 192.0.2.143 oder 192.0.2.0/24
  • VCN-OCID: ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

    • Subnetz-IP-Adressen oder CIDR-Blöcke: 10.0.0.4,10.0.0.0/16

      Verwenden Sie 0.0.0.0/0, um eine IP-Adresse von einem bestimmten VCN zuzulassen.

2. Policy schreiben

Der IAM Service umfasst eine Variable zur Verwendung in Policys, mit der Sie den Geltungsbereich der Policy mithilfe einer Bedingung einschränken können. Die Variable lautet:

request.networkSource.name

Nachdem Sie die Netzwerkquelle erstellt haben, können Sie den Geltungsbereich von Policys einschränken, indem Sie diese Variable in einer Bedingung verwenden. Beispiel: Angenommen, Sie erstellen eine Netzwerkquelle namens "corpnet". Sie können bestimmen, dass Benutzern der Gruppe "CorporateUsers" nur dann der Zugriff auf Ihre Object Storage-Ressourcen gewährt wird, wenn ihre Anforderungen von IP-Adressen stammen, die Sie in "corpnet" angegeben haben. Schreiben Sie dazu eine Policy wie die folgende: 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Mit dieser Policy können Benutzer in der CorporateUsers-Gruppe Object Storage-Ressourcen nur dann verwalten, wenn ihre Anforderungen von einer zulässigen IP-Adresse stammen, die in der Netzwerkquelle "corpnet" angegeben ist. Anforderungen außerhalb der angegebenen IP-Bereiche werden abgelehnt. Allgemeine Informationen zum Schreiben von Policys finden Sie unter Funktionsweise von Policys.

Netzwerkquellen mit der Konsole verwalten

So erstellen Sie eine Netzwerkquelle
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Netzwerkquellen aus. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Wählen Sie Netzwerkquelle erstellen.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für die Netzwerkquelle. Der Name muss innerhalb Ihres Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Geben Sie keine vertraulichen Informationen ein.
    • Beschreibung: Eine aussagekräftige Beschreibung. Sie können diese später bei Bedarf ändern.
    • Netzwerktyp: Wählen Sie eine der folgenden Optionen aus:

      • Öffentliches Netzwerk: Geben Sie eine bestimmte IP-Adresse oder einen bestimmten CIDR-Blockbereich ein. Beispiel: 192.0.2.143.

        Wählen Sie Weitere IP-Adresse/Weiterer CIDR-Block aus, um eine weitere zulässige Adresse oder einen weiteren zulässigen Bereich hinzuzufügen.

      • Virtuelles Cloud-Netzwerk: Geben Sie für diese Option Folgendes ein:

        • VCN-OCID: Geben Sie die OCID aus dem VCN ein, das Sie zulassen möchten.

          Beispiel: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • IP-Adresse/CIDR-Block: Geben Sie eine IP-Adresse aus dem VCN oder einen Subnetz-CIDR-Block ein. Beispiel: 10.0.0.0/16 oder 10.0.0.4.

          Wenn Sie alle Subnetze aus dem angegebenen VCN zulassen möchten, geben Sie 0.0.0.0/0 ein.

          Wählen Sie Weitere IP-Adresse/Weiterer CIDR-Block aus, um eine weitere zulässige Adresse oder einen Bereich aus demselben VCN hinzuzufügen.

  4. Um dieser Netzwerkquelle mehr IP-Bereiche hinzuzufügen, wählen Sie Quelle hinzufügen aus.
  5. Erweiterte Optionen anzeigen: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiform-Tags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen verfügen, den Tag-Namespace zu verwenden. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  6. Wählen Sie Erstellen.
So aktualisieren Sie eine Netzwerkquelle
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Netzwerkquellen aus. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie die Netzwerkquelle in der Liste, und wählen Sie ihren Namen aus, um die zugehörigen Details anzuzeigen.
  3. Bearbeiten Sie die Netzwerkquelle:
    • Um dieser Netzwerkquelle weitere zulässige IP-Adressen hinzuzufügen, wählen Sie Quellen hinzufügen aus. Wählen Sie im Dialogfeld Quellen hinzufügen erneut Quelle hinzufügen aus, und geben Sie die Details für jede IP-Adresse oder jeden CIDR-Block ein, die bzw. den Sie dieser Netzwerkquelle hinzufügen möchten.
    • Um eine zulässige Quelle zu entfernen, wählen Sie das Menü Aktionen (drei Punkte) und dann Löschen aus.
So löschen Sie eine Netzwerkquelle
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus. Die Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
  2. Suchen Sie die Netzwerkquelle in der Liste, und wählen Sie das Menü Aktionen (drei Punkte) für das Element aus.
  3. Klicken Sie auf Löschen.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Mit den folgenden API-Vorgängen können Sie Netzwerkquellen verwalten:

Netzwerkquellobjekt erstellen

Ein Netzwerkquellobjekt sieht wie im folgenden Beispiel aus:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Die Elemente sind:

  • virtualSourceList - Gibt das VCN (OCID) und die Subnetz-IP-Bereiche in diesem VCN an, für die der Zugriff zulässig ist. Die virtualSourceList muss sowohl die VCN-OCID als auch die Subnetz-IP-Bereiche enthalten:
    • vcnID - Die OCID des VCN
    • IpRanges: Durch Komma getrennte Liste der IP-Adressen oder CIDR-Blöcke der Subnetze, die zu dem angegebenen VCN gehören und auf die Ressource zugreifen dürfen. Um alle Bereiche im angegebenen VCN zuzulassen, geben Sie 0.0.0.0/0 ein.
  • publicSourceList: Durch Komma getrennte Liste der öffentlichen IP-Bereiche, für die der Zugriff zulässig ist.

Beispiel:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}