Zugriff auf Ressourcen nur mit angegebenen IP-Adressen zulassen

1. Netzwerkquelle erstellen

Befolgen Sie die Anweisungen für die Konsole oder API, um die Netzwerkquelle zu erstellen.

Eine einzelne Netzwerkquelle kann IP-Adressen von einem bestimmten VCN und/oder einer öffentlichen IP-Adresse enthalten.

Um das VCN anzugeben, benötigen Sie die VCN-OCID und die Subnetz-IP-Bereiche, die Sie zulassen möchten.

Beispiele:

• Öffentliche IP-Adressen oder CIDR-Blöcke: 192.0.2.143 oder 192.0.2.0/24
• VCN-OCID: ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

  • Subnetz-IP-Adressen oder CIDR-Blöcke: 10.0.0.4,10.0.0.0/16

    Verwenden Sie 0.0.0.0/0, um eine IP-Adresse von einem bestimmten VCN zuzulassen.

2. Policy schreiben

Der IAM-Service umfasst eine Variable zur Verwendung in Policys, mit denen Sie den Geltungsbereich der Policy mithilfe einer Bedingung einschränken können. Die Variable lautet:

request.networkSource.name

Nachdem Sie die Netzwerkquelle erstellt haben, können Sie den Geltungsbereich von Policys einschränken, indem Sie diese Variable in einer Bedingung verwenden. Beispiel: Angenommen, Sie erstellen eine Netzwerkquelle namens "corpnet". Sie können Benutzern der Gruppe "CorporateUsers" nur dann den Zugriff auf Ihre Object Storage-Ressourcen gewähren, wenn ihre Anforderungen von IP-Adressen stammen, welche Sie in corpnet angegeben haben. Schreiben Sie dazu eine Policy wie die folgende:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Mit dieser Policy können Benutzer in der CorporateUsers-Gruppe Object Storage-Ressourcen nur wenn ihre Anforderungen von einer zulässigen IP-Adresse stammen, die in der Netzwerkquelle "corpnet" angegeben ist, verwalten. Anforderungen außerhalb der angegebenen IP-Bereiche werden abgelehnt. Allgemeine Informationen zum Schreiben von Policys finden Sie unter Funktionsweise von Policys.