Contrôle d'accès à l'aide d'une adresse IP

OCI fournit une option pour ajouter une couche supplémentaire de sécurité à vos ressources en nuage en limitant l'accès à l'aide de contrôles d'accès basés sur le réseau. Vous pouvez spécifier un jeu limité d'adresses IP ou de blocs CIDR qui ont l'autorisation d'interagir avec vos ressources.

Une source de réseau est un jeu d'adresses IP définies. Il peut s'agir d'adresses IP publiques des réseaux en nuage virtuels de votre location. Lorsqu'une source de réseau est fournie dans une politique GIA, le service GIA valide les demandes d'accès à une ressource provenant d'une adresse IP autorisée. Suivez les étapes indiquées pour créer des politiques GIA qui limitent l'accès aux référentiels de code Devops en fonction des adresses IP spécifiées :

1. Dans la console Oracle Cloud, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Sources de réseau, cliquez sur Créer une source de réseau.
2. Entrez un nom et une description.
3. Dans la section Réseaux, sélectionnez le type de réseau que vous utilisez et les adresses IP correspondantes.
   • Pour fournir l'accès aux adresses IP publiques ou aux intervalles de blocs CIDR, sélectionnez Réseau public et indiquez les détails correspondants.
   • Pour accorder l'accès aux adresses IP privées de votre réseau VCN, sélectionnez Réseau en nuage virtuel et le VCN à autoriser. Entrez l'adresse IP privée du réseau VCN ou d'un bloc CIDR de sous-réseau. Pour autoriser tous les sous-réseaux du réseau VCN spécifié, entrez 0.0.0.0/0.
4. Pour ajouter d'autres intervalles d'adresses IP à cette source de réseau, cliquez sur Ajouter un réseau.
5. Cliquez sur Créer.

Après avoir créé le réseau avec les adresses IP requises, vous pouvez créer des politiques GIA pour autoriser uniquement les adresses IP listées à accéder aux référentiels de code DevOps. Pour définir la portée de votre politique à l'aide d'une condition, vous pouvez utiliser une variable de service GIA. Par exemple, request.networkSource.name.

Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

Vous pouvez modifier les verbes utilisés dans la politique. Par exemple, vous pouvez remplacer "manage" par "inspect" pour permettre uniquement de lister les ressources. Pour plus d'informations, voir Politiques GIA pour DevOps.

Lors de l'accès aux référentiels ou de l'exécution d'opérations Git sur un référentiel à partir d'une adresse IP non autorisée, une erreur peut se produire.