Documentación de Oracle Cloud Infrastructure

Configuración del acceso de red con reglas de control de acceso (ACL)

Al especificar una lista de control de acceso se bloquea el acceso a la base de datos por parte de todas las direcciones IP que no figuren en la lista de ACL. Después de especificar una lista de control de acceso, Autonomous Database solo acepta conexiones desde direcciones de la lista de control de acceso y la base de datos rechaza todas las demás conexiones de cliente.

Tema principal: Configuración del acceso de red con reglas de control de acceso (ACL) y puntos finales privados

Configuración de listas de control de acceso al aprovisionar o clonar una instancia

Al aprovisionar o clonar Autonomous Database con la opción Acceso seguro solo de IP y VCN permitidas, puede restringir el acceso de red definiendo listas de control de acceso (ACL).

Consulte Aplicación de una instancia de Autonomous Database para obtener información sobre el aprovisionamiento de su instancia de Autonomous Database.

Configure las ACL de la siguiente manera:

  1. En el área Seleccionar acceso de red, seleccione Acceso seguro solo desde direcciones IP y VCN permitidas.

    Con la opción Acceso seguro solo desde direcciones IP y VCN permitidas seleccionada, la consola muestra los campos y las opciones para especificar ACL:

    A continuación se muestra la descripción de adb_network_access_acl_provision.png
  2. En el área Seleccionar acceso de red, especifique reglas de control de acceso seleccionando un tipo de notación IP e introduciendo valores adecuados para el tipo que seleccione:
    • Dirección IP:

      En el campo Valores, introduzca valores para la dirección IP. Una dirección IP especificada en una entrada de ACL de red es la dirección IP pública del cliente que está visible en la Internet pública a la que desea otorgar acceso. Por ejemplo, para una máquina virtual de Oracle Cloud Infrastructure, esta es la dirección IP que se muestra en el campo IP pública de la consola de Oracle Cloud Infrastructure para esa máquina virtual.

      Nota

      Haga clic también en Agregar mi dirección IP para agregar la dirección IP actual a la entrada de la ACL.
    • bloque de CIDR:

      En el campo Valores, introduzca valores para el bloque de CIDR. El bloque de CIDR especificado es el bloque de CIDR público de los clientes que está visible en la Internet pública a la que desea otorgar acceso.

    • Red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      Utilice esta opción para especificar la VCN que se utilizará con un gateway de servicio de Oracle Cloud Infrastructure:

      • En el campo Red virtual en la nube, seleccione la VCN desde la que desea otorgar acceso. Si no tiene privilegios para ver las VCN en su arrendamiento, esta lista está vacía. En este caso, utilice la selección Red virtual en la nube (OCID) para especificar el OCID de la VCN.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.
    • OCID de red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      • En el campo Valores, introduzca el OCID de la VCN desde la que desea otorgar acceso.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.

    Si desea especificar varias direcciones IP o rangos de CIDR dentro de la misma VCN, no cree varias entradas de ACL. Utilice una entrada de ACL con los valores para varias direcciones IP o rangos de CIDR separados por comas.

  3. Haga clic en Agregar regla de control de acceso para agregar un nuevo valor a la lista de control de acceso.
  4. Haga clic en la x para eliminar una entrada.
    También puede borrar el valor del campo direcciones IP o bloques de CIDR para eliminar una entrada.
  5. Requerir autenticación TLS mutua (mTLS).

    Después de introducir un tipo de notación IP y un valor, tiene la opción de seleccionar esta opción. Las opciones son:

    • Cuando se selecciona Requerir autenticación TLS mutua (mTLS), solo se permiten conexiones mTLS (no se permite la autenticación TLS).

    • Si no se selecciona Necesitar autenticación TLS mutua (mTLS), se permiten las conexiones TLS y mTLS. Es la configuración por defecto.

    Consulte Actualización de opciones de red para permitir TLS o requerir solo autenticación TLS mutua (mTLS) en Autonomous Database para obtener más información.

  6. Complete los pasos de aprovisionamiento o clonación restantes, como se especifica en Aprovisionamiento de una instancia de Autonomous Database, Clonación de una instancia de Autonomous Database o Clonación de una instancia de Autonomous Database a partir de una copia de seguridad.

Una vez finalizado el aprovisionamiento, puede actualizar las ACL de punto final público o puede cambiar la configuración de Autonomous Database para utilizar un punto final privado.

Consulte Configuración de listas de control de acceso para una instancia de Autonomous Database existente para obtener información sobre la actualización de ACL.

Consulte Cambio de puntos finales públicos a privados con Autonomous Database para obtener información sobre cómo cambiar a un punto final privado.

Configuración de listas de control de acceso para una instancia de Autonomous Database existente

Puede controlar y restringir el acceso a Autonomous Database especificando listas de control de acceso de red (ACL). En una instancia de Autonomous Database existente con un punto final público, puede agregar, cambiar o eliminar ACL.

Configure las ACL o agregue, elimine o actualice las ACL existentes para una instancia de Autonomous Database de la siguiente manera:

  1. On the Details page, from the More actions drop-down list, select Update network access.

    De esta forma se muestra el cuadro de diálogo Actualizar acceso a la red.

    A continuación se muestra la descripción de adb_network_access_update.png
  2. En el cuadro de diálogo, en Tipo de acceso, seleccione Acceso seguro solo desde IP permitidas y VCN y especifique las reglas de control de acceso seleccionando un tipo de notación IP y valores:

    Seleccione:

    • Dirección IP:

      En el campo Valores, introduzca valores para la dirección IP. Una dirección IP especificada en una entrada de ACL de red es la dirección IP pública del cliente que está visible en la Internet pública a la que desea otorgar acceso. Por ejemplo, para una máquina virtual de Oracle Cloud Infrastructure, esta es la dirección IP que se muestra en el campo IP pública de la consola de Oracle Cloud Infrastructure para esa máquina virtual.

      Nota

      Haga clic también en Agregar mi dirección IP para agregar la dirección IP actual a la entrada de la ACL.
    • bloque de CIDR:

      En el campo Valores, introduzca valores para el bloque de CIDR. El bloque de CIDR especificado es el bloque de CIDR público de los clientes que está visible en la Internet pública a la que desea otorgar acceso.

    • Red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      Utilice esta opción para especificar la VCN que se utilizará con un gateway de servicio de Oracle Cloud Infrastructure:

      • En el campo Red virtual en la nube, seleccione la VCN desde la que desea otorgar acceso. Si no tiene privilegios para ver las VCN en su arrendamiento, esta lista está vacía. En este caso, utilice la selección Red virtual en la nube (OCID) para especificar el OCID de la VCN.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.
    • OCID de red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      • En el campo Valores, introduzca el OCID de la VCN desde la que desea otorgar acceso.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.

    Si desea especificar varias direcciones IP o rangos de CIDR dentro de la misma VCN, no cree varias entradas de ACL. Utilice una entrada de ACL con los valores para varias direcciones IP o rangos de CIDR separados por comas.

  3. Agregar control de acceso para agregar un nuevo valor a la lista de control de acceso.
  4. Haga clic en la x para eliminar una entrada.
    También puede borrar el valor del campo direcciones IP o bloques de CIDR para eliminar una entrada.
  5. Haga clic en Actualizar.

Si el estado del ciclo de vida es Disponible al hacer clic en Actualizar, este cambiará aActualizando hasta que se defina la ACL. La base de datos todavía estará activa y accesible; no hay ningún tiempo de inactividad. Una vez finalizada la actualización, el estado del ciclo de vida vuelve a ser Disponible y las ACL de red de la lista de control de acceso entran en vigor.

Cambio de puntos finales privados a públicos con Autonomous Database

Si la instancia de Autonomous Database está configurada para utilizar un punto final privado, puede cambiar la configuración para utilizar un punto final público.

Hay varios requisitos para cambiar una instancia de un punto final privado a uno público, de la siguiente forma:

Para especificar un punto final público para Autonomous Database, haga lo siguiente:

  1. On the Details page, from the More actions drop-down list, select Update network access.
  2. En el cuadro de diálogo Actualizar acceso de red, seleccione uno de los siguientes valores: Acceso seguro desde cualquier lugar o Acceso seguro solo desde IP y redes virtuales en la nube permitidas.

    Por ejemplo, si selecciona Acceso seguro solo desde direcciones IP y VCN permitidas, en el cuadro de diálogo se muestran campos para configurar reglas de control de acceso:

    A continuación se muestra la descripción de adb_network_access_update.png
  3. En el cuadro de diálogo, en Configurar reglas de control de acceso, especifique reglas seleccionando un tipo de notación IP y valores:
    • Dirección IP:

      En el campo Valores, introduzca valores para la dirección IP. Una dirección IP especificada en una entrada de ACL de red es la dirección IP pública del cliente que está visible en la Internet pública a la que desea otorgar acceso. Por ejemplo, para una máquina virtual de Oracle Cloud Infrastructure, esta es la dirección IP que se muestra en el campo IP pública de la consola de Oracle Cloud Infrastructure para esa máquina virtual.

      Nota

      Haga clic también en Agregar mi dirección IP para agregar la dirección IP actual a la entrada de la ACL.
    • bloque de CIDR:

      En el campo Valores, introduzca valores para el bloque de CIDR. El bloque de CIDR especificado es el bloque de CIDR público de los clientes que está visible en la Internet pública a la que desea otorgar acceso.

    • Red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      • En el campo Red virtual en la nube, seleccione la VCN desde la que desea otorgar acceso. Si no tiene privilegios para ver las VCN en su arrendamiento, esta lista está vacía. En este caso, utilice la selección Red virtual en la nube (OCID) para especificar el OCID de la VCN.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.
    • OCID de red virtual en la nube:

      Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

      • En el campo Valores, introduzca el OCID de la VCN desde la que desea otorgar acceso.
      • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.

    Si desea especificar varias direcciones IP o rangos de CIDR dentro de la misma VCN, no cree varias entradas de ACL. Utilice una entrada de ACL con los valores para varias direcciones IP o rangos de CIDR separados por comas.

  4. Haga clic en Agregar regla de control de acceso para agregar un nuevo valor a la lista de control de acceso.
  5. Haga clic en la x para eliminar una entrada.
    También puede borrar el valor del campo direcciones IP o bloques de CIDR para eliminar una entrada.
  6. Haga clic en Actualizar.
  7. En el cuadro de diálogo Confirmar, escriba el nombre de la instancia de Autonomous Database para confirmar el cambio.
  8. En el cuadro de diálogo Confirmar, haga clic en Actualizar.

El estado del ciclo de vida cambia a Actualizando hasta que finaliza la operación.

Notas para cambiar el acceso de red del punto final privado al punto final público:

  • Después de actualizar el tipo de acceso de red, todos los usuarios de la base de datos deben obtener una cartera nueva y utilizar la nueva cartera para acceder a la base de datos. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

  • Una vez finalizada la actualización, puede cambiar o definir nuevas ACL de reglas de control de acceso para el punto final público. Consulte Configuración de listas de control de acceso para una instancia de Autonomous Database existente para obtener más información.

  • La URL de Database Actions y de las herramientas de base de datos son diferentes cuando una base de datos utiliza un punto final privado en comparación con un punto final público. Haga clic en Database Actions en la consola de Oracle Cloud Infrastructure para buscar la dirección URL de Database Actions actualizada y, en Database Actions, haga clic en las tarjetas adecuadas para buscar las direcciones URL de Database Tools actualizadas, después de cambiar de un punto final privado a uno público.

Restricciones y notas de la lista de control de acceso

Se describen las restricciones y notas de las reglas de control de acceso en Autonomous Database.

  • Si solo desea permitir conexiones que lleguen a través de un gateway de servicio, debe utilizar la dirección IP del gateway de servicio en la definición de la ACL. Para ello, debe agregar una definición de ACL con el tipo de origen CIDR con el valor 240.0.0.0/4. Tenga en cuenta que esto no se recomienda, en lugar de hacerlo, puede especificar VCN individuales en la definición de ACL para las VCN desde las que desea permitir el acceso.

    Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

  • Al restaurar una base de datos, las ACL existentes no se sobrescriben con la restauración.

  • Las ACL de red se aplican a las conexiones de la base de datos y a Oracle Machine Learning Notebooks. Si se define una ACL e intenta conectarse a Oracle Machine Learning Notebooks desde un cliente cuya IP no esté especificada en la ACL, verá un error "conexión rechazada en función de la lista de control de acceso definida por el administrador".

  • Las siguientes herramientas de Autonomous Database están sujetas a ACL. Puede utilizar la red virtual en la nube, la red virtual en la nube (OCID), la dirección IP o las ACL de bloque de CIDR para controlar el acceso a estas herramientas:

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services

  • Si tiene una subred privada en su VCN configurada para acceder a la Internet pública a través de un gateway de NAT, debe introducir la dirección IP pública del gateway de NAT en la definición de la ACL. Los clientes de la subred privada no tienen direcciones IP públicas. Consulte Gateway de NAT para obtener más información.

  • Si utiliza ACL y se permiten conexiones TLS, debe cambiar la configuración de red para no permitir conexiones TLS antes de eliminar todas las ACL. Consulte Actualización de la instancia de Autonomous Database para requerir mTLS y no permitir la autenticación TLS para obtener más información.