Documentation sur Oracle Cloud Infrastructure

Permettre l'accès aux ressources uniquement à partir des adresses IP spécifiées

Permettre l'accès aux ressources uniquement à partir des adresses IP spécifiées.

Pour restreindre l'accès aux demandes effectuées à partir d'un jeu d'adresses IP, procédez de la façon suivante :

  1. Créer une source de réseau qui spécifie les adresses IP autorisées.
  2. Écrire une politique qui utilise la variable de source de réseau dans une condition.

1. Créer la source de réseau

Suivez les instructions fournies pour la console ou l'API pour créer la source de réseau.

Une seule source de réseau peut inclure des adresses IP provenant d'un réseau en nuage virtuel particulier, des adresses IP publiques ou les deux.

Pour spécifier le réseau en nuage virtuel, vous devez disposer de l'OCID du VCN et des intervalles d'adresses IP de sous-réseau que vous voulez autoriser.

Exemples :

  • Adresses IP publiques ou blocs CIDR : 192.0.2.143 ou 192.0.2.0/24
  • OCID du VCN : ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

    • Adresses IP de sous-réseau ou blocs CIDR : 10.0.0.4, 10.0.0.0/16

      Pour autoriser toute adresse IP d'un réseau en nuage virtuel particulier, utilisez 0.0.0.0/0.

2. Écrire la politique

Le service GIA inclut une variable à utiliser dans la politique qui vous permet de définir la portée de votre politique à l'aide d'une condition. La variable est :

request.networkSource.name

Après avoir créé votre source de réseau, vous pouvez définir la portée des politiques à l'aide de cette variable dans une condition. Par exemple, supposons que vous ayez créé une source de réseau nommée "corpnet". Vous pouvez restreindre l'accès des utilisateurs du groupe "CorporateUsers" aux ressources du service de stockage d'objets uniquement lorsque leurs demandes proviennent d'adresses IP que vous avez spécifiées dans corpnet. Pour ce faire, écrivez une politique semblable à celle-ci : 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Cette politique permet aux utilisateurs du groupe CorporateUsers de gérer les ressources du service de stockage d'objets uniquement lorsque leurs demandes proviennent d'une adresse IP autorisée spécifiée dans la source de réseau "corpnet". Les demandes ne provenant pas des intervalles d'adresses IP indiqués sont refusées. Pour des informations générales sur l'écriture de politiques, voir Fonctionnement des politiques.