Documentación de Oracle Cloud Infrastructure

Conexión a sesiones en Bastion

En este tema, se describe cómo conectarse a las sesiones de bastión.

Para obtener información sobre cómo crear y gestionar sesiones de bastión, consulte Gestión de sesiones de bastión. Para obtener información sobre la creación y gestión de bastiones, consulte Gestión de bastiones.

Los bastiones son servicios gestionados por Oracle. Utilice un bastión para crear sesiones de shell seguro (SSH) que proporcionen acceso a otros recursos privados. Sin embargo, no se puede conectar directamente a un bastión con SSH y administrarlo o supervisarlo como un host tradicional.

Al conectarse a una sesión de bastión, le recomendamos que siga las mejores prácticas de SSH que se describen en Protección de Bastion.

Puede conectarse a los siguientes tipos de sesiones:

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que le indica que no tiene permiso o no está autorizado, verifique con su administrador el tipo de acceso que tiene y en qué compartimento debe trabajar.

Para utilizar todas las funciones de Bastion, debe tener los siguientes permisos:

  • Gestionar bastiones, sesiones y redes
  • Leer instancias informáticas
  • Leer plugins de agente de instancia informática (Oracle Cloud Agent)
  • Inspeccionar solicitudes de trabajo
Política de ejemplo:
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Consulte Políticas de IAM de Bastion para obtener información detallada sobre las políticas y otros ejemplos.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Cómo permitir el acceso a la red desde el bastión

La VCN (red virtual en la nube)  en la que se ha creado el recurso de destino debe permitir el tráfico de red entrante desde el bastión en el puerto de destino.

Por ejemplo, si desea utilizar una sesión para conectarse al puerto 8001 en una instancia informática desde un bastión con la dirección IP 192.168.0.99, la subred que se utiliza para acceder a la instancia debe permitir el tráfico de entrada desde 192.168.0.99 en el puerto 8001.

  1. En la página de lista Bastions, busque el bastión con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el bastión, consulte Lista de bastiones.
  2. Seleccione el nombre del bastión.
  3. Copie la Dirección IP de punto final privado.
  4. Seleccione la subred del destino.

    Si el recurso de destino está en una subred diferente a la utilizada por el bastión para acceder a esta VCN, edite la subred del recurso de destino.

  5. En la página Detalles de subred, haga clic en una lista de seguridad existente asignada a esta subred.

    También puede crear una lista de seguridad y asignarla a esta subred.

  6. Seleccione Agregar reglas de entrada.
  7. En CIDR de origen, introduzca un bloque de CIDR que incluya la Dirección IP de punto final privado del bastión.

    Por ejemplo, el bloque de CIDR <bastion_private_IP>/32 incluye solo la dirección IP del bastión.

  8. En Protocolo IP, seleccione TCP.
  9. En Rango de puertos de destino, introduzca el número de puerto en el recurso de destino.

    En sesiones de SSH gestionadas, especifique el puerto 22.

  10. Seleccione Agregar reglas de entrada.

Para obtener más información, consulte Listas de seguridad.