Oracle Cloud Infrastructure-Dokumentation

Zugriffskontrolle mit IP-Adresse

OCI bietet die Möglichkeit, Ihren Cloud-Ressourcen eine zusätzliche Sicherheitsebene hinzuzufügen, indem der Zugriff über netzwerkbasierte Zugriffskontrollen eingeschränkt wird. Sie können eine begrenzte Gruppe von IP-Adressen oder Classless Inter-Domain Routing-(CIDR-)Blöcken angeben, die zur Interaktion mit Ihren Ressourcen berechtigt sind.

Eine Netzwerkquelle ist eine Gruppe definierter IP-Adressen. Dabei kann es sich um eine öffentliche IP-Adresse virtueller Cloud-Netzwerke (VCNs) in Ihrem Mandanten handeln. Wenn eine Netzwerkquelle in einer IAM-Policy angegeben wird, validiert IAM die Anforderungen für den Zugriff auf eine Ressource, die von einer zulässigen IP-Adresse stammt. Führen Sie die angegebenen Schritte aus, um IAM-Policys zu erstellen, die den Zugriff auf DevOps-Code-Repositorys auf Grundlage von angegebenen IP-Adressen einschränken:

  1. Öffnen Sie in der Oracle Cloud-Konsole das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Netzwerkquellen auf Netzwerkquelle erstellen.
  2. Geben Sie einen Namen und eine Beschreibung ein.
  3. Wählen Sie im Abschnitt Netzwerke den Typ des verwendeten Netzwerks und die entsprechenden IP-Adressen aus.
    • Um Zugriff auf öffentliche IP-Adressen oder CIDR-Blockbereiche zu erteilen, wählen Sie Öffentliches Netzwerk aus, und geben Sie die entsprechenden Details an.
    • Um Zugriff auf private IP-Adressen in Ihrem VCN zu erteilen, wählen Sie Virtuelles Cloud-Netzwerk aus, und wählen Sie das VCN aus, das Sie zulassen möchten. Geben Sie die private IP-Adresse aus dem VCN oder einem Subnetz-CIDR-Block ein. Um alle Subnetze aus dem angegebenen VCN zuzulassen, geben Sie 0.0.0.0/0 ein.
  4. Um dieser Netzwerkquelle weitere IP-Bereiche hinzuzufügen, klicken Sie auf Netzwerk hinzufügen.
  5. Klicken Sie auf Erstellen.

Nachdem Sie das Netzwerk mit den erforderlichen IP-Adressen erstellt haben, können Sie IAM-Policys erstellen, damit nur die aufgeführten IP-Adressen auf DevOps-Code-Repositorys zugreifen können. Um den Geltungsbereich Ihrer Policy mit einer Bedingung festzulegen, können Sie eine IAM-Servicevariable verwenden. Beispiel: request.networkSource.name.

Im Folgenden finden Sie eine Beispiel-Policy, mit der nur angegebene IP-Adressen mit devops-repository als Ressourcentyp auf die DevOps-Code-Repositorys zugreifen können. Verwenden Sie den Namen der Netzwerkquelle, die in den vorherigen Schritten erstellt wurde: 
Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

Sie können die in der Policy verwendeten Verben ändern. Beispiel: Wenn Sie "manage" in "inspect" ändern, können Ressourcen nur aufgelistet werden. Weitere Informationen finden Sie unter DevOps-IAM-Policys.

Wenn Sie über eine nicht zulässige IP-Adresse auf Repositorys zugreifen oder Git-Vorgänge in einem Repository ausführen, tritt möglicherweise ein Fehler auf.