Contrôle de l'accès
Cette rubrique fournit des informations de base sur l'utilisation des compartiments et des politiques IAM pour contrôler l'accès à un réseau en nuage.
Compartiments et réseau en nuage
Chaque fois que vous créez une ressource en nuage telle qu'un réseau en nuage virtuel (VCN) ou une instance de calcul, vous devez spécifier le compartiment IAM dans lequel vous voulez la ressource. Un compartiment est une collection de ressources connexes accessibles uniquement par certains groupes disposant d'une autorisation d'administrateur. L'administrateur crée des compartiments et des politiques IAM correspondantes pour contrôler quels utilisateurs peuvent accéder aux compartiments. L'objectif est de garantir que chaque personne accède uniquement aux ressources nécessaires.
Si une société commence à essayer Oracle Cloud Infrastructure, seules quelques personnes doivent créer et gérer le VCN et ses composants, créer des instances dans le VCN et associer des volumes de stockage par blocs à ces instances. Ces quelques utilisateurs ont besoin d'un accès à toutes ces ressources, et il est donc commode de les placer dans le même compartiment.
Dans un environnement de production d'entreprise avec un réseau VCN, une société peut utiliser de nombreux compartiments pour faciliter le contrôle de l'accès à certains types de ressource. Par exemple, un administrateur peut créer Compartment_A pour un VCN et d'autres composants de réseau. L'administrateur peut ensuite créer Compartment_B pour toutes les instances de calcul et tous les volumes de stockage par blocs que l'organisation des RH utilise, puis Compartment_C pour toutes les instances et les volumes de stockage par blocs que l'organisation de marketing utilise. L'administrateur créera ensuite des politiques IAM qui accorderont aux utilisateurs uniquement le niveau d'accès dont ils ont besoin dans chaque compartiment. Par exemple, l'administrateur de l'instance RH n'est pas autorisé à modifier le réseau en nuage existant. Ils disposent donc des autorisations complètes pour Compartment_B, mais d'un accès limité à Compartment_A (uniquement ce qui est nécessaire pour créer des instances sur le réseau). S'il tente de modifier d'autres ressources dans Compartment_A, la demande est refusée.
Il est possible de déplacer d'un compartiment à l'autre des ressources réseau telles que les réseaux en nuage virtuels, les sous-réseaux, les tables de routage, les listes de sécurité, les passerelles de service, les passerelles NAT, les connexions RPV et les connexions FastConnect. Lorsque vous placez une ressource dans un nouveau compartiment, des politiques inhérentes s'appliquent immédiatement.
Pour plus d'informations sur les compartiments et sur la façon de contrôler l'accès aux ressources en nuage, voir En savoir plus sur les meilleures pratiques pour la configuration de votre location et Aperçu du service de gestion des identités et des accès.
Politiques IAM pour le service de réseau
L'approche la plus simple pour l'octroi d'accès au service de réseau est la politique répertoriée dans Permettre aux administrateurs de réseau de gérer un réseau en nuage. Elle couvre le réseau en nuage et tous les autres composants du réseau (sous-réseaux, listes de sécurité, tables de routage, portes, etc.). Pour autoriser également les administrateurs de réseau à créer des instances (pour tester la connectivité réseau), voir Permettre aux utilisateurs de lancer des instances de calcul.
Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.
Pour en savoir plus sur l'écriture de politiques réseau plus détaillées, voir Détails relatifs aux services de base.
Types de ressource individuels
Vous pouvez écrire des politiques qui s'appliquent à des types de ressource particuliers (par exemple, des listes de sécurité uniquement) au lieu d'utiliser des virtual-network-family
plus larges. Le type de ressource instance-family
inclut également plusieurs autorisations pour les cartes vNIC, qui résident dans un sous-réseau, mais sont associées à une instance. Pour plus d'informations, voir Informations détaillées sur les combinaisons Verbe + Type de ressource et Cartes d'interface réseau virtuelles (vNIC).
Un type de ressource nommé local-peering-gateways
est inclus dans virtual-network-family
et inclut deux autres types de ressource liés à l'appairage local de VCN (dans la région) :
local-peering-from
local-peering-to
Le type de ressource local-peering-gateways
regroupe toutes les autorisations liées aux passerelles d'appairage local (LPG). Les types de ressource local-peering-from
et local-peering-to
permettent d'accorder l'autorisation de se connecterà deux LPG et de définir une relation d'appairage dans une même région. Pour plus d'informations, voir Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans la même location) ou Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans des locations différentes).
De même, un type de ressource nommé remote-peering-connections
est inclus dans virtual-network-family
et inclut deux autres types de ressource liés à l'appairage distant de réseaux VCN (entre les régions) :
remote-peering-from
remote-peering-to
Le type de ressource remote-peering-connections
regroupe toutes les autorisations liées aux connexions d'appairage distant (RPC). Les types de ressource remote-peering-from
et remote-peering-to
permettent d'accorder l'autorisation de connecter deux RPC et de définir une relation d'appairage entre des régions. Pour plus d'informations, voir Appairage distant avec une passerelle DRG existante et Appairage distant avec une passerelle DRG mise à niveau.
Nuances entre différents verbes
Vous pouvez écrire des politiques qui limitent le niveau d'accès à l'aide d'un verbe de politique (manage
au lieu de use
, etc.). Si vous le faites, voici quelques nuances à comprendre sur les verbes de politique pour le réseautage.
Par exemple, le verbe inspect
ne retourne pas seulement les informations générales sur les composants du réseau en nuage (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routes dans la table de routage, etc.).
De plus, les types de fonction suivants sont disponibles uniquement avec le verbe manage
et ne le sont pas avec le verbe use
:
- Mettre à jour (activer/désactiver)
internet-gateways
- Mettre à jour
security-lists
- Mettre à jour
route-tables
- Mettre à jour
dhcp-options
- Attacher une passerelle de routage dynamique (DRG) à un réseau en nuage virtuel (VCN)
- Créer une connexion IPSec entre une passerelle de routage dynamique (DRG) et un équipement local d'abonné (CPE)
- Appairer des réseaux en nuage virtuels (VCN)
Chaque VCN comprend différents composants qui ont une incidence directe sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau VCN. La politique doit donc vous autoriser à créer le composant et à gérer le réseau VCN. En revanche, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc) n'a pas besoin d'une autorisation pour gérer le VCN lui-même, même si la modification de ce composant peut avoir une incidence directe sur le comportement du réseau. Cet écart est conçu pour vous permettre d'accorder un privilège minimal aux utilisateurs sans avoir besoin d'accorder d'accès excessif au VCN pour que l'utilisateur puisse gérer d'autres composants du réseau. En accordant à un utilisateur la capacité de mettre à jour un type de composant particulier, vous lui confiez implicitement le contrôle du comportement du réseau.
Pour plus d'informations sur les verbes de politique, voir Principes de base des politiques.
Politiques d'appairage
Pour les politiques utilisées pour connecter une passerelle DRG à des réseaux en nuage virtuels et des passerelles DRG dans d'autres régions et locations, voir Politiques IAM pour le routage entre des réseaux en nuage virtuels.