Control de acceso mediante dirección IP

OCI proporciona una opción para agregar una capa adicional de seguridad a sus recursos en la nube al limitar el acceso mediante controles de acceso basados en red. Puede especificar un juego limitado de direcciones IP o bloques de enrutamiento entre dominios sin clase (CIDR) que tengan permiso para interactuar con sus recursos.

Un origen de red es un juego de direcciones IP definidas. Pueden ser direcciones IP públicas de las redes virtuales en la nube (VCN) de su arrendamiento. Cuando se proporciona un origen de red en una política de IAM, IAM valida las solicitudes para acceder a un recurso que proceden de una dirección IP permitida. Siga los pasos indicados para crear políticas de IAM que limiten el acceso a los repositorios de código de DevOps según las direcciones IP especificadas:

1. En la consola de Oracle Cloud, abra el menú de navegación y haga clic en Identidad y seguridad. En Orígenes de red, haga clic en Crear origen de red.
2. Introduzca un nombre y una descripción.
3. En la sección Redes, seleccione el tipo de red que utiliza y las direcciones IP correspondientes.
   • Para proporcionar acceso a rangos de direcciones IP públicas o bloques de CIDR, seleccione Red pública y proporcione los detalles correspondientes.
   • Para proporcionar acceso a direcciones IP privadas de su VCN, seleccione Red virtual en la nube y seleccione la VCN que desea permitir. Introduzca la dirección IP privada de la VCN o un bloque de CIDR de subred. Para permitir todas las subredes de la VCN especificada, introduzca 0.0.0.0/0.
4. Para agregar más rangos de IP a este origen de red, haga clic en Agregar red.
5. Haga clic en Crear.

Después de crear la red con las direcciones IP necesarias, puede crear políticas de IAM para permitir que solo las direcciones IP mostradas accedan a los repositorios de código de DevOps. Para definir el ámbito de la política mediante una condición, puede utilizar una variable de servicio de IAM. Por ejemplo, request.networkSource.name.

Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

Puede modificar los verbos utilizados en la política. Por ejemplo, si cambia "manage" por "inspect" solo se permite mostrar los recursos. Para obtener más información, consulte Políticas de IAM de DevOps.

Al acceder a repositorios o realizar operaciones de Git en un repositorio desde una dirección IP que no está permitida, es posible que reciba un mensaje de error.