Documentation sur Oracle Cloud Infrastructure

Connexion aux sessions dans l'hôte bastion

Cette rubrique décrit comment se connecter aux sessions d'hôte bastion.

Pour des informations sur la création et la gestion des sessions d'hôte bastion, voir Gestion des sessions dans l'hôte bastion. Pour des informations sur la création et la gestion des hôtes bastions, voir Gestion des hôtes bastions.

Les hôtes bastions sont des services gérés par Oracle. Vous utilisez un hôte bastion pour créer des sessions SSH (Secure Shell) qui permettent d'accéder à d'autres ressources privées. Mais vous ne pouvez pas vous connecter directement à un hôte bastion avec SSH et l'administrer ou le surveiller comme un hôte traditionnel.

Lors de la connexion à une session d'hôte bastion, nous vous recommandons de suivre les meilleures pratiques SSH décrites sous Sécurisation du service d'hôte bastion.

Vous pouvez vous connecter aux types de session suivants :

Politique GIA requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur votre type d'accès et le compartiment à utiliser.

Pour utiliser toutes les fonctions du service Hôte bastion, vous devez disposer des autorisations suivantes :

  • Gérer les hôtes bastions, les sessions et les réseaux
  • Lire les instances de calcul
  • Lire les plugiciels d'agent d'instance de calcul (Oracle Cloud Agent)
  • Inspecter les demandes de travail
Exemple de politique :
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Voir Politiques GIA pour le service d'hôte bastion pour des informations détaillées sur les politiques et d'autres exemples.

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.

Autorisation de l'accès au réseau à partir de l'hôte bastion

Le réseau en nuage virtuel (VCN) dans lequel la ressource cible a été créée doit autoriser le trafic réseau entrant à partir de l'hôte bastion sur le port cible.

Par exemple, si vous voulez utiliser une session pour vous connecter au port 8001 sur une instance de calcul à partir d'un hôte bastion avec l'adresse IP 192.168.0.99, le sous-réseau utilisé pour accéder à l'instance doit autoriser le trafic entrant à partir de 192.168.0.99 sur le port 8001.

  1. Dans la page de liste Hôtes bastions, recherchez l'hôte bastion avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou l'hôte bastion, voir Liste des hôtes bastions.
  2. Sélectionnez le nom de l'hôte bastion.
  3. Copiez l'adresse IP du point d'extrémité privé.
  4. Sélectionnez le sous-réseau cible.

    Si la ressource cible se trouve dans un sous-réseau différent de celui utilisé par l'hôte bastion pour accéder à ce VCN, modifiez le sous-réseau de la ressource cible.

  5. Dans la page Détails du sous-réseau, cliquez sur une liste de sécurité existante affectée à ce sous-réseau.

    Vous pouvez également créer une liste de sécurité et l'affecter à ce sous-réseau.

  6. Sélectionnez Ajouter des règles de trafic entrant.
  7. Pour CIDR source, entrez un bloc CIDR qui inclut l'adresse IP du point d'extrémité privé de l'hôte bastion.

    Par exemple, le bloc CIDR <bastion_private_IP>/32 inclut uniquement l'adresse IP de l'hôte bastion.

  8. Pour Protocole IP, sélectionnez TCP.
  9. Pour Intervalle de ports de destination, entrez le numéro de port de la ressource cible.

    Pour les sessions SSH gérées, spécifiez le port 22.

  10. Sélectionnez Ajouter des règles de trafic entrant.

Pour en savoir plus, voir Listes de sécurité.