Zugriff auf Ressourcen nur mit angegebenen IP-Adressen zulassen

1. Netzwerkquelle erstellen

Befolgen Sie die Anweisungen für die Konsole oder API, um die Netzwerkquelle zu erstellen.

Eine einzelne Netzwerkquelle kann IP-Adressen von einem bestimmten VCN und/oder einer öffentlichen IP-Adresse enthalten.

Um das VCN anzugeben, benötigen Sie die VCN-OCID und die Subnetz-IP-Bereiche, die Sie zulassen möchten.

Beispiele:

• Öffentliche IP-Adressen oder CIDR-Blöcke: 192.0.2.143 oder 192.0.2.0/24
• VCN-OCID: ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

  • Subnetz-IP-Adressen oder CIDR-Blöcke: 10.0.0.4,10.0.0.0/16

    Verwenden Sie 0.0.0.0/0, um eine IP-Adresse von einem bestimmten VCN zuzulassen.

2. Policy schreiben

Der IAM Service umfasst eine Variable zur Verwendung in Policys, mit der Sie den Geltungsbereich der Policy mithilfe einer Bedingung einschränken können. Die Variable lautet:

request.networkSource.name

Nachdem Sie die Netzwerkquelle erstellt haben, können Sie den Geltungsbereich von Policys einschränken, indem Sie diese Variable in einer Bedingung verwenden. Beispiel: Angenommen, Sie erstellen eine Netzwerkquelle namens "corpnet". Sie können bestimmen, dass Benutzern der Gruppe "CorporateUsers" nur dann der Zugriff auf Ihre Object Storage-Ressourcen gewährt wird, wenn ihre Anforderungen von IP-Adressen stammen, die Sie in "corpnet" angegeben haben. Schreiben Sie dazu eine Policy wie die folgende:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Mit dieser Policy können Benutzer in der CorporateUsers-Gruppe Object Storage-Ressourcen nur dann verwalten, wenn ihre Anforderungen von einer zulässigen IP-Adresse stammen, die in der Netzwerkquelle "corpnet" angegeben ist. Anforderungen außerhalb der angegebenen IP-Bereiche werden abgelehnt. Allgemeine Informationen zum Schreiben von Policys finden Sie unter Funktionsweise von Policys.