Documentation sur Oracle Cloud Infrastructure

Gestion des sources de réseau

Cette rubrique décrit les bases de l'utilisation des sources de réseau.

Marquage de ressources

Appliquez des marqueurs à vos ressources afin de les organiser en fonction des besoins de l'entreprise. Appliquez des marqueurs au moment de la création d'une ressource, ou mettez à jour la ressource plus tard avec les marqueurs souhaités. Pour des informations générales sur l'application de marqueurs, voir Marqueurs de ressource.

Présentation des sources de réseau

Une source de réseau est un jeu d'adresses IP définies. Les adresses IP peuvent être des adresses IP publiques ou des adresses IP de réseaux en nuage virtuels dans votre location. Après avoir créé la source de réseau, vous pouvez la référencer dans la politique ou dans les paramètres d'authentification de votre location pour contrôler l'accès en fonction de l'adresse IP d'origine.

Les sources de réseau peuvent uniquement être créées dans la location (ou le compartiment racine) et, comme les autres ressources IAM, dans la région principale. Pour plus d'informations sur le nombre de sources de réseau que vous pouvez avoir, voir Limites du service GIA sans domaines d'identité.

Vous pouvez utiliser des sources de réseau pour sécuriser votre location comme suit :

  • Spécifiez la source de réseau dans la politique GIA pour restreindre l'accès aux ressources.

    Lorsque cette option est spécifiée dans une politique, le service GIA vérifie que les demandes d'accès à une ressource proviennent bien d'une adresse IP autorisée.

    Par exemple, vous pouvez restreindre l'accès aux seaux de stockage d'objets de votre location uniquement aux utilisateurs connectés à Oracle Cloud Infrastructure au moyen de votre réseau d'entreprise. Ou vous pouvez autoriser uniquement les ressources appartenant à des sous-réseaux spécifiques d'un réseau en nuage virtuel particulier à effectuer des demandes sur une passerelle de service.

  • Spécifiez la source de réseau dans les paramètres d'authentification de votre location pour limiter la connexion à la console.

    Vous pouvez configurer la politique d'authentification de votre location pour autoriser la connexion à la console à partir des seules adresses IP spécifiées dans votre source de réseau. Les utilisateurs qui tentent de se connecter à partir d'une adresse IP qui ne figure pas dans la liste autorisée de votre source de réseau se verront refuser l'accès. Pour plus d'informations sur l'utilisation d'une restriction de source de réseau dans la politique d'authentification, voir Gestion des paramètres d'authentification.

Permettre l'accès aux ressources uniquement à partir des adresses IP spécifiées

Pour restreindre l'accès aux demandes effectuées à partir d'un jeu d'adresses IP, procédez de la façon suivante :

  1. Créer une source de réseau qui spécifie les adresses IP autorisées.
  2. Écrire une politique qui utilise la variable de source de réseau dans une condition.

1. Créer la source de réseau

Suivez les instructions fournies pour la console ou l'API pour créer la source de réseau.

Une seule source de réseau peut inclure des adresses IP provenant d'un réseau en nuage virtuel particulier, des adresses IP publiques ou les deux.

Pour spécifier le réseau en nuage virtuel, vous devez disposer de l'OCID du VCN et des intervalles d'adresses IP de sous-réseau que vous voulez autoriser.

Exemples :

  • Adresses IP publiques ou blocs CIDR : 192.0.2.143 ou 192.0.2.0/24
  • OCID du VCN : ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

    • Adresses IP de sous-réseau ou blocs CIDR : 10.0.0.4, 10.0.0.0/16

      Pour autoriser toute adresse IP d'un réseau en nuage virtuel particulier, utilisez 0.0.0.0/0.

2. Écrire la politique

Le service GIA inclut une variable à utiliser dans la politique qui vous permet de définir la portée de votre politique à l'aide d'une condition. La variable est :

request.networkSource.name

Après avoir créé votre source de réseau, vous pouvez définir la portée des politiques à l'aide de cette variable dans une condition. Par exemple, supposons que vous ayez créé une source de réseau nommée "corpnet". Vous pouvez restreindre l'accès des utilisateurs du groupe "CorporateUsers" aux ressources du service de stockage d'objets uniquement lorsque leurs demandes proviennent d'adresses IP que vous avez spécifiées dans corpnet. Pour ce faire, écrivez une politique semblable à celle-ci : 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Cette politique permet aux utilisateurs du groupe CorporateUsers de gérer les ressources du service de stockage d'objets uniquement lorsque leurs demandes proviennent d'une adresse IP autorisée spécifiée dans la source de réseau "corpnet". Les demandes ne provenant pas des intervalles d'adresses IP indiqués sont refusées. Pour des informations générales sur l'écriture de politiques, voir Fonctionnement des politiques.

Utilisation de la console pour gérer les sources de réseau

Pour créer une source de réseau
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Sources de réseau. Une liste des sources de réseau de votre location est affichée.
  2. Cliquez sur Créer une source de réseau.
  3. Entrez les informations suivantes :
    • Nom : Nom unique de la source de réseau. Le nom doit être unique dans votre location. Vous ne pouvez pas modifier cette valeur ultérieurement. Évitez d'entrer des informations confidentielles.
    • Description : Description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
    • Type de réseau : Sélectionnez une des options suivantes :

      • Réseau public : Entrez une adresse IP ou un intervalle de blocs CIDR spécifique. Par exemple : 192.0.2.143.

        Cliquez sur un + Une autre adresse IP ou un autre bloc CIDR pour ajouter une autre adresse ou un autre intervalle autorisé.

      • Réseau en nuage virtuel : Entrez les données suivantes pour cette option :

        • OCID du réseau en nuage virtuel : Entrez l'OCID du VCN que vous voulez autoriser.

          Par exemple : ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

        • Adresse IP/Bloc CIDR : Entrez une adresse IP provenant du VCN ou un bloc CIDR de sous-réseau. Par exemple : 10.0.0.0/16 ou 10.0.0.4.

          Si vous voulez autoriser tous les sous-réseaux du VCN spécifié, entrez 0.0.0.0/0.

          Cliquez sur un + Une autre adresse IP ou un autre bloc CIDR pour ajouter une autre adresse ou un autre intervalle autorisé à partir du même VCN.

  4. Pour ajouter d'autres intervalles d'adresses IP à cette source de réseau, cliquez sur Ajouter une source.
  5. Afficher les options avancées : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
  6. Cliquez sur Créer.
Pour mettre à jour une source de réseau
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Sources de réseau. Une liste des sources de réseau de votre location est affichée.
  2. Localisez la source de réseau dans la liste, puis cliquez sur son nom pour en voir les détails.
  3. Modifiez la source de réseau :
    • Pour ajouter d'autres adresses IP autorisées à cette source de réseau, cliquez sur Ajouter des sources. Dans la boîte de dialogue Ajouter des sources, cliquez à nouveau sur Ajouter une source et entrez les détails de chaque adresse IP ou bloc CIDR à ajouter à cette source de réseau.
    • Pour supprimer une source autorisée, cliquez sur le menu Actions (Menu Actions), puis sur Supprimer.
Pour supprimer une source de réseau
  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La liste des sources de réseau de votre location est affichée.
  2. Localisez la source de réseau dans la liste, puis cliquez sur le menu Actions (Menu Actions) de l'élément.
  3. Cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Pour gérer les sources de réseau, utilisez les opérations d'API suivantes :

Création d'un objet de source de réseau

Exemple d'objet de source de réseau :

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Les éléments sont les suivants :

  • virtualSourceList - Spécifie le réseau en nuage virtuel (OCID) et les intervalles d'adresses IP du sous-réseau de ce VCN dont l'accès est autorisé. La valeur virtualSourceList doit contenir l'OCID du VCN et les intervalles d'adresses IP du sous-réseau :
    • vcnID - OCID du VCN
    • IpRanges - Liste séparée par des virgules des adresses IP ou des blocs CIDR des sous-réseaux appartenant au VCN indiqué qui sont autorisés à accéder à la ressource. Pour autoriser tous les intervalles dans le VCN indiqué, entrez 0.0.0.0/0.
  • publicSourceList - Liste séparée par des virgules des intervalles d'adresses IP publiques pour lesquels l'accès est autorisé.

Exemple :

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}