Netzwerkquellen verwalten

In diesem Thema werden die Grundlagen der Arbeit mit Netzwerkquellen beschrieben.

Erforderliche IAM-Policy

Wenn Sie Mitglied der Administratorengruppe sind, haben Sie den erforderlichen Zugriff zum Verwalten von Netzwerkquellen. Um Policys speziell für Netzwerkquellen zu schreiben, verwenden Sie den Ressourcentyp network-sources. Sie finden ihn bei den anderen IAM-Komponenten unter Details zu IAM ohne Identitätsdomains.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Ressourcen taggen

Wenden Sie Tags auf Ihre Ressourcen an, um diese entsprechend Ihren Geschäftsanforderungen zu organisieren. Wenden Sie Tags beim Erstellen einer Ressource an, oder aktualisieren Sie die Ressource später mit den gewünschten Tags. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.

Einführung in Netzwerkquellen

Eine Netzwerkquelle ist eine Gruppe definierter IP-Adressen. Bei den IP-Adressen kann es sich um öffentliche IP-Adressen oder IP-Adressen von VCNs in Ihrem Mandanten handeln. Nachdem Sie die Netzwerkquelle erstellt haben, können Sie sie in Policys oder in den Authentifizierungseinstellungen Ihres Mandanten referenzieren, um den Zugriff basierend auf der ursprünglichen IP-Adresse zu kontrollieren.

Netzwerkquellen können nur im Mandanten (oder Root Compartment) erstellt werden und sich wie andere IAM-Ressourcen in der Hauptregion befinden. Informationen zur Anzahl der Netzwerkquellen, die Sie haben können, finden Sie unter Limits für IAM ohne Identitätsdomains.

Mit Netzwerkquellen können Sie Ihren Mandanten wie folgt sichern:

Geben Sie die Netzwerkquelle in der IAM-Policy an, um den Zugriff auf Ressourcen einzuschränken.
Sofern dies in einer Policy angegeben wurde, prüft IAM, dass Anforderungen für den Zugriff auf eine Ressource von einer zulässigen IP-Adresse stammen.
Beispiel: Sie können den Zugriff auf Object Storage-Buckets in Ihrem Mandanten nur auf Benutzer einschränken, die über Ihr Unternehmensnetzwerk bei Oracle Cloud Infrastructure angemeldet sind. Sie können auch bestimmen, dass nur Ressourcen, die zu bestimmten Subnetzen eines bestimmten VCN gehören, Anforderungen über ein Servicegateway stellen können.
Geben Sie die Netzwerkquelle in den Authentifizierungseinstellungen Ihres Mandanten an, um die Anmeldung bei der Konsole einzuschränken.
Sie können die Authentifizierungs-Policy Ihres Mandanten so einrichten, dass eine Anmeldung bei der Konsole nur mit den in der Netzwerkquelle angegebenen IP-Adressen möglich ist. Benutzern, die versuchen, sich mit einer IP-Adresse anzumelden, die nicht in der Liste der zulässigen IP-Adressen in der Netzwerkquelle enthalten ist, wird der Zugriff verweigert. Informationen zur Verwendung einer Netzwerkquelleneinschränkung in Authentifizierungs-Policys finden Sie unter Authentifizierungseinstellungen verwalten.

Zugriff auf Ressourcen nur mit angegebenen IP-Adressen zulassen

Um den Zugriff auf Anforderungen einer Gruppe von IP-Adressen einzuschränken, gehen Sie wie folgt vor:

Erstellen Sie eine Netzwerkquelle, die die zulässigen IP-Adressen angibt.
Schreiben Sie eine Policy, die die Netzwerkquellvariable in einer Bedingung verwendet.

1. Netzwerkquelle erstellen

Befolgen Sie die Anweisungen für die Konsole oder API, um die Netzwerkquelle zu erstellen.

Eine einzelne Netzwerkquelle kann IP-Adressen von einem bestimmten VCN und/oder einer öffentlichen IP-Adresse enthalten.

Um das VCN anzugeben, benötigen Sie die VCN-OCID und die Subnetz-IP-Bereiche, die Sie zulassen möchten.

Beispiele:

Öffentliche IP-Adressen oder CIDR-Blöcke: 192.0.2.143 oder 192.0.2.0/24
VCN-OCID: ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID
- Subnetz-IP-Adressen oder CIDR-Blöcke: 10.0.0.4,10.0.0.0/16
  Verwenden Sie 0.0.0.0/0, um eine IP-Adresse von einem bestimmten VCN zuzulassen.

2. Policy schreiben

Der IAM Service umfasst eine Variable zur Verwendung in Policys, mit der Sie den Geltungsbereich der Policy mithilfe einer Bedingung einschränken können. Die Variable lautet:

request.networkSource.name

Nachdem Sie die Netzwerkquelle erstellt haben, können Sie den Geltungsbereich von Policys einschränken, indem Sie diese Variable in einer Bedingung verwenden. Beispiel: Angenommen, Sie erstellen eine Netzwerkquelle namens "corpnet". Sie können bestimmen, dass Benutzern der Gruppe "CorporateUsers" nur dann der Zugriff auf Ihre Object Storage-Ressourcen gewährt wird, wenn ihre Anforderungen von IP-Adressen stammen, die Sie in "corpnet" angegeben haben. Schreiben Sie dazu eine Policy wie die folgende:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Mit dieser Policy können Benutzer in der CorporateUsers-Gruppe Object Storage-Ressourcen nur dann verwalten, wenn ihre Anforderungen von einer zulässigen IP-Adresse stammen, die in der Netzwerkquelle "corpnet" angegeben ist. Anforderungen außerhalb der angegebenen IP-Bereiche werden abgelehnt. Allgemeine Informationen zum Schreiben von Policys finden Sie unter Funktionsweise von Policys.

Netzwerkquellen mit der Konsole verwalten

So erstellen Sie eine Netzwerkquelle

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Netzwerkquellen. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
Klicken Sie auf Netzwerkquelle erstellen.
Geben Sie Folgendes ein:
- Name: Ein eindeutiger Name für die Netzwerkquelle. Der Name muss innerhalb Ihres Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern. Geben Sie keine vertraulichen Informationen ein.
- Beschreibung: Eine aussagekräftige Beschreibung. Sie können diese später bei Bedarf ändern.
- Netzwerktyp: Wählen Sie eine der folgenden Optionen aus:
  - Öffentliches Netzwerk: Geben Sie eine bestimmte IP-Adresse oder einen bestimmten CIDR-Blockbereich ein. Beispiel: 192.0.2.143.
    Klicken Sie auf + Weitere IP-Adresse/Weiterer CIDR-Block, um eine weitere zulässige Adresse oder einen anderen zulässigen Bereich hinzuzufügen.
  - Virtuelles Cloud-Netzwerk: Geben Sie für diese Option Folgendes ein:
    - VCN-OCID: Geben Sie die OCID aus dem VCN ein, das Sie zulassen möchten.
      Beispiel: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
    - IP-Adresse/CIDR-Block: Geben Sie eine IP-Adresse aus dem VCN oder einen Subnetz-CIDR-Block ein. Beispiel: 10.0.0.0/16 oder 10.0.0.4.
      Wenn Sie alle Subnetze aus dem angegebenen VCN zulassen möchten, geben Sie 0.0.0.0/0 ein.
      Klicken Sie auf + Weitere IP-Adresse/Weiterer CIDR-Block, um eine weitere zulässige Adresse oder einen Bereich aus demselben VCN hinzuzufügen.
Um dieser Netzwerkquelle weitere IP-Bereiche hinzuzufügen, klicken Sie auf Quelle hinzufügen.
Erweiterte Optionen anzeigen: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
Klicken Sie auf Erstellen.

So aktualisieren Sie eine Netzwerkquelle

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Netzwerkquellen. Eine Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
Suchen Sie die Netzwerkquelle in der Liste, und klicken Sie auf ihren Namen, um die zugehörigen Details anzuzeigen.
Bearbeiten Sie die Netzwerkquelle:
- Um dieser Netzwerkquelle weitere zulässige IP-Adressen hinzuzufügen, klicken Sie auf Quellen hinzufügen. Klicken Sie im Dialogfeld Quellen hinzufügen erneut auf Quelle hinzufügen, und geben Sie die Details für jede IP-Adresse oder jeden CIDR-Block ein, die bzw. den Sie dieser Netzwerkquelle hinzufügen möchten.
- Um eine zulässige Quelle zu entfernen, klicken Sie auf das Aktionsmenü (), und klicken Sie auf Löschen.

So löschen Sie eine Netzwerkquelle

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains. Die Liste der Netzwerkquellen in Ihrem Mandanten wird angezeigt.
Suchen Sie die Netzwerkquelle in der Liste, und klicken Sie neben dem Element auf das Menü Aktionen ().
Klicken Sie auf Löschen.
Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

So wenden Sie Tags auf eine Netzwerkquelle an

Anweisungen finden Sie unter Ressourcentags.

API verwenden

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Mit den folgenden API-Vorgängen können Sie Netzwerkquellen verwalten:

Netzwerkquellobjekt erstellen

Ein Netzwerkquellobjekt sieht wie im folgenden Beispiel aus:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Die Elemente sind:

virtualSourceList - Gibt das VCN (OCID) und die Subnetz-IP-Bereiche in diesem VCN an, für die der Zugriff zulässig ist. Die virtualSourceList muss sowohl die VCN-OCID als auch die Subnetz-IP-Bereiche enthalten:
- vcnID - Die OCID des VCN
- IpRanges: Durch Komma getrennte Liste der IP-Adressen oder CIDR-Blöcke der Subnetze, die zu dem angegebenen VCN gehören und auf die Ressource zugreifen dürfen. Um alle Bereiche im angegebenen VCN zuzulassen, geben Sie 0.0.0.0/0 ein.
publicSourceList: Durch Komma getrennte Liste der öffentlichen IP-Bereiche, für die der Zugriff zulässig ist.

Beispiel:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}

Oracle Cloud Infrastructure - Dokumentation