Documentation sur Oracle Cloud Infrastructure

Contrôle de l'accès

Cette rubrique fournit des informations de base sur l'utilisation des compartiments et des politiques IAM pour contrôler l'accès à votre réseau en nuage.

Compartiments et réseau en nuage

Chaque fois que vous créez une ressource en nuage telle qu'un réseau en nuage virtuel (VCN) ou une instance de calcul, vous devez spécifier le compartiment IAM dans lequel vous voulez la ressource. Un compartiment est une collection de ressources connexes accessibles uniquement par certains groupes auxquels un administrateur de votre organisation a accordé une autorisation. L'administrateur crée les compartiments et les politiques GIA correspondantes pour contrôler l'accès des utilisateurs. L'objectif est de garantir que chaque personne accède uniquement aux ressources dont elle a besoin.

Si votre société est dans la phase d'essai d'Oracle Cloud Infrastructure, seules quelques personnes sont amenées à créer et à gérer le réseau VCN et ses composants, à y lancer des instances et à leur associer des volumes de stockage par blocs. Ces quelques utilisateurs ont besoin d'un accès à toutes ces ressources, et il est donc commode de les placer dans le même compartiment.

Dans un environnement de production d'entreprise avec un réseau VCN, votre société peut utiliser plusieurs compartiments pour faciliter le contrôle de l'accès à certains types de ressource. Par exemple, l'administrateur peut créer Compartiment_A pour votre réseau VCN et d'autres composants du réseau. L'administrateur peut ensuite créer Compartiment_B pour toutes les instances de calcul et tous les volumes de stockage par blocs utilisés par l'organisation des RH, puis le Compartiment_C pour toutes les instances et les volumes de stockage par blocs de l'organisation de marketing. L'administrateur peut ensuite créer des politiques GIA pour chaque compartiment afin de n'accorder aux utilisateurs que le niveau d'accès dont ils ont besoin. Par exemple, l'administrateur de l'instance RH n'est pas autorisé à modifier le réseau en nuage existant. Il dispose donc d'autorisations complètes pour Compartiment_B, mais d'un accès limité à Compartiment_A (qui lui permet de lancer des instances sur le réseau). S'il tente de modifier d'autres ressources dans Compartiment_A, la demande est refusée.

Les ressources réseau telles que les réseaux en nuage virtuels, les sous-réseaux, les tables de routage, les listes de sécurité, les passerelles de service, les passerelles NAT, les connexions de réseau RPV et les connexions FastConnect peuvent être déplacées d'un compartiment à l'autre. Lorsque vous placez une ressource dans un nouveau compartiment, des politiques inhérentes s'appliquent immédiatement.

Pour plus d'informations sur les compartiments et sur la façon de contrôler l'accès aux ressources en nuage, voir Découvrir les meilleures pratiques pour la configuration de votre location et Aperçu du service de gestion des identités et des accès .

Politiques de gestion des identités et des accès pour le réseau

L'approche la plus simple pour l'octroi d'accès au réseau est la politique répertoriée dans Permettre aux administrateurs de réseau de gérer un réseau en nuage. Celle-ci couvre le réseau en nuage et tous les autres composants du réseau (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour autoriser également les administrateurs de réseau à lancer des instances (pour tester la connectivité réseau), voir Permettre aux utilisateurs de lancer des instances de calcul.

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.

Pour en savoir plus sur l'écriture de politiques réseau plus précises, voir Détails relatifs aux services de base.

Types de ressource individuels

Vous pouvez, si vous le souhaitez, écrire des politiques qui s'appliquent à des types de ressource particuliers (des listes de sécurité uniquement, par exemple) au lieu d'utiliser une catégorie plus large comme virtual-network-family. Le type de ressource instance-family inclut également plusieurs autorisations pour les cartes vNIC, qui résident dans un sous-réseau, mais sont associées à une instance. Pour plus d'informations, voir Informations détaillées sur les combinaisons Verbe + Type de ressource et Cartes d'interface réseau virtuelles (vNIC).

Un type de ressource nommé local-peering-gateways est inclus dans virtual-network-family. Il comporte deux autres types de ressource liés à un appairage de réseaux en nuage virtuels locaux (dans une région) :

  • local-peering-from
  • local-peering-to

Le type de ressource local-peering-gateways regroupe toutes les autorisations liées aux passerelles d'appairage local (LPG). Les types de ressource local-peering-from et local-peering-to permettent d'accorder l'autorisation de se connecterà deux LPG et de définir une relation d'appairage dans une même région. Pour plus d'informations, voir Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans la même location) ou Appairage local à l'aide d'une passerelle LPG (réseaux en nuage virtuels dans des locations différentes).

De même, un type de ressource nommé remote-peering-connections est inclus dans virtual-network-family. Il comporte deux autres types de ressource liés à un appairage distant de réseaux en nuage virtuels (entre des régions) :

  • remote-peering-from
  • remote-peering-to

Le type de ressource remote-peering-connections regroupe toutes les autorisations liées aux connexions d'appairage distant (RPC). Les types de ressource remote-peering-from et remote-peering-to permettent d'accorder l'autorisation de connecter deux RPC et de définir une relation d'appairage entre des régions. Pour plus d'informations, voir Appairage distant avec une passerelle DRG existante et Appairage distant avec une passerelle DRG mise à niveau.

Nuances entre différents verbes

Vous pouvez, si vous le souhaitez, écrire des politiques qui limitent le niveau d'accès à l'aide d'un verbe de politique (par exemple manage au lieu de use, etc.). Dans ce cas, il vous faut comprendre les nuances entre les différents verbes de politique concernant le réseau.

Par exemple, le verbe inspect ne retourne pas seulement les informations générales sur les composants du réseau en nuage (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routes dans la table de routage, etc.).

De plus, les types de fonction suivants sont disponibles uniquement avec le verbe manage et ne le sont pas avec le verbe use :

  • Mettre à jour (activer/désactiver) internet-gateways
  • Mettre à jour security-lists
  • Mettre à jour route-tables
  • Mettre à jour dhcp-options
  • Attacher une passerelle de routage dynamique (DRG) à un réseau en nuage virtuel (VCN)
  • Créer une connexion IPSec entre une passerelle de routage dynamique (DRG) et un équipement local d'abonné (CPE)
  • Appairer des réseaux en nuage virtuels (VCN)
Important

Chaque VCN comprend différents composants qui ont une incidence directe sur le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre celui-ci et le réseau VCN. La politique doit donc vous autoriser à créer le composant et à gérer le réseau VCN. En revanche, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne requiert pas d'autorisation pour gérer le VCN lui-même, même si la modification de ce composant peut avoir une incidence directe sur le comportement du réseau. Vous disposez ainsi de la flexibilité nécessaire pour octroyer un privilège minimal aux utilisateurs sans avoir à accorder d'accès excessif au VCN pour que l'utilisateur puisse gérer d'autres composants du réseau. En accordant à un utilisateur la capacité de mettre à jour un type de composant particulier, vous lui confiez implicitement le contrôle du comportement du réseau.

Pour plus d'informations sur les verbes de politique, voir Principes de base des politiques.

Politiques d'appairage

Pour les politiques utilisées pour connecter une passerelle DRG à des réseaux en nuage virtuels et des passerelles DRG d'autres régions et locations, voir Politiques IAM pour le routage entre les réseaux en nuage virtuels.