Permitir el acceso a recursos solo desde las direcciones IP especificadas

1. Crear el origen de red

Siga las instrucciones proporcionadas para la consola o la API para crear el origen de red.

Un único origen de red puede incluir direcciones IP de una VCN específica, direcciones IP públicas o ambas.

Para especificar la VCN, necesita el OCID de la VCN y los rangos de IP de subred que desea permitir.

Ejemplos:

• Direcciones IP públicas o bloques CIDR: 192.0.2.143 o 192.0.2.0/24
• OCID de VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

  • Direcciones IP de subred o bloques CIDR: 10.0.0.4, 10.0.0.0/16

    Para permitir cualquier dirección IP de una VCN específica, utilice 0.0.0.0/0.

2. Escribir la política

El servicio IAM incluye una variable que se puede utilizar en una política para restringirla con una condición. La variable es:

request.networkSource.name

Después de crear el origen de red, puede restringir las políticas usando esta variable en una condición. Por ejemplo, imagine que crea un origen de red que se llame "corpnet". Puede restringir a los usuarios del grupo "CorporateUsers" para que accedan a los recursos de Object Storage solamente cuando sus solicitudes procedan de direcciones IP especificadas en corpnet. Para ello, escriba una política como la siguiente:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Esta política permite a los usuarios del grupo CorporateUsers gestionar recursos de Object Storage solamente cuando sus solicitudes proceden de una dirección IP permitida especificada en el origen de red "corpnet". Se deniegan las solicitudes realizadas fuera de los rangos de IP especificados. Para obtener información general sobre la escritura de políticas, consulte Cómo funcionan las políticas.