Configuration de l'accès au réseau à l'aide de règles de contrôle d'accès (LCA)

Lorsque vous provisionnez ou clonez une base de données autonome avec l'option Accès sécurisé à partir des adresses IP et des réseaux en nuage virtuels autorisés seulement, vous pouvez restreindre l'accès au réseau en définissant des listes de contrôle d'accès (LCA).

1. Dans la zone Sélectionner l'accès au réseau, sélectionnez Accès sécurisé depuis les adresses IP et les réseaux en nuage virtuels autorisés seulement.

   Lorsque l'option Accès sécurisé depuis les adresses IP et les réseaux en nuage virtuels autorisés seulement est sélectionnée, la console affiche les champs et les options permettant de spécifier des listes de contrôle d'accès :

   
   Description de l'illustration adb_network_access_acl_provision.png
2. Dans la zone Sélectionner l'accès au réseau, indiquez des règles de contrôle d'accès en sélectionnant un type de notation d'adresse IP et en entrant des Valeurs appropriées pour le type sélectionné :
   • adresse IP :

     Dans le champ Valeurs, entrez des valeurs pour l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau est l'adresse IP publique du client qui est visible sur le réseau Internet public et à laquelle vous voulez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

     Note
     
     Facultativement, sélectionnez Ajouter mon adresse IP pour ajouter votre adresse IP courante à l'entrée de liste de contrôle d'accès.
   • Bloc CIDR :

     Dans le champ Valeurs, entrez des valeurs pour le bloc CIDR. Le bloc CIDR spécifié est le bloc CIDR public des clients qui sont visibles sur le réseau Internet public auxquels vous voulez accorder l'accès.

   • Réseau en nuage virtuel :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     Utilisez cette option pour spécifier le VCN à utiliser avec une passerelle de service Oracle Cloud Infrastructure Service Gateway :

     • Dans le champ Réseau en nuage virtuel, sélectionnez le réseau VCN à partir duquel vous voulez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour voir les réseaux en nuage virtuels de votre location, cette liste est vide. Dans ce cas, utilisez l'OCID (réseau en nuage virtuel) de sélection pour spécifier l'OCID du VCN.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
   • Réseau en nuage virtuel (OCID) :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     • Dans le champ Valeurs, entrez l'OCID du réseau en nuage virtuel à partir duquel vous voulez accorder l'accès.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

   Si vous voulez indiquer plusieurs adresses IP ou intervalles CIDR dans le même réseau en nuage virtuel, ne créez pas plusieurs entrées dans la liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès contenant les valeurs des adresses IP ou des intervalles CIDR multiples séparées par des virgules.

3. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
4. Cliquez sur x pour supprimer une entrée.
   Vous pouvez également effacer la valeur dans le champ Adresses IP ou Blocs CIDR pour supprimer une entrée.
5. Exiger l'authentification TLS mutuelle (mTLS).

   Après avoir entré un type de notation d'adresse IP et une valeur, vous pouvez sélectionner cette option. Les options sont les suivantes :

   • Lorsque l'option Exiger l'authentification TLS mutuelle (mTLS) est sélectionnée, seules les connexions mTLS sont autorisées (l'authentification TLS n'est pas permise).

   • Lorsque l'option Exiger l'authentification TLS mutuelle est désélectionnée, les connexions TLS et mTLS sont autorisées. Il s'agit de la configuration par défaut.

   Pour plus d'informations, voir Mettre à jour les options de réseau pour autoriser TLS ou n'exiger que l'authentification TLS mutuelle (mTLS) sur la base de données IA autonome.

6. Effectuez les étapes restantes de provisionnement ou de clonage, telles que spécifiées dans Provisionner une instance de base de données d'IA autonome, Cloner une instance de base de données d'IA autonome ou Cloner une base de données d'IA autonome à partir d'une sauvegarde.

Vous pouvez contrôler et restreindre l'accès à votre base de données d'IA autonome en spécifiant des listes de contrôle d'accès au réseau. Sur une instance de base de données autonome avec un point d'extrémité public, vous pouvez ajouter, modifier ou supprimer des listes de contrôle d'accès.

1. Dans la page Détails, dans la zone Réseau, à côté du champ Liste de contrôle d'accès, cliquez sur Modifier.

   La figure présente le volet Update network access (Mettre à jour l'accès au réseau).

   
   Description de l'illustration adb_network_access_update.png

   Vous pouvez également cliquer sur Actions supplémentaires et sélectionner Mettre à jour l'accès au réseau et, dans le volet, sous Type d'accès, sélectionnez Accès sécurisé à partir des adresses IP et des réseaux en nuage virtuels autorisés seulement.

2. Spécifiez les règles de contrôle d'accès en sélectionnant un type de notation IP et des valeurs :

   Sélectionnez une des options suivantes :

   • adresse IP :

     Dans le champ Valeurs, entrez des valeurs pour l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau est l'adresse IP publique du client qui est visible sur le réseau Internet public et à laquelle vous voulez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

     Note
     
     Facultativement, sélectionnez Ajouter mon adresse IP pour ajouter votre adresse IP courante à l'entrée de liste de contrôle d'accès.
   • Bloc CIDR :

     Dans le champ Valeurs, entrez des valeurs pour le bloc CIDR. Le bloc CIDR spécifié est le bloc CIDR public des clients qui sont visibles sur le réseau Internet public auxquels vous voulez accorder l'accès.

   • Réseau en nuage virtuel :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     Utilisez cette option pour spécifier le VCN à utiliser avec une passerelle de service Oracle Cloud Infrastructure Service Gateway :

     • Dans le champ Réseau en nuage virtuel, sélectionnez le réseau VCN à partir duquel vous voulez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour voir les réseaux en nuage virtuels de votre location, cette liste est vide. Dans ce cas, utilisez l'OCID (réseau en nuage virtuel) de sélection pour spécifier l'OCID du VCN.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
   • Réseau en nuage virtuel (OCID) :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     • Dans le champ Valeurs, entrez l'OCID du réseau en nuage virtuel à partir duquel vous voulez accorder l'accès.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

   Si vous voulez indiquer plusieurs adresses IP ou intervalles CIDR dans le même réseau en nuage virtuel, ne créez pas plusieurs entrées dans la liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès contenant les valeurs des adresses IP ou des intervalles CIDR multiples séparées par des virgules.

3. Cliquez sur Ajouter un contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
4. Cliquez sur x pour supprimer une entrée.
   Vous pouvez également effacer la valeur dans le champ Adresses IP ou Blocs CIDR pour supprimer une entrée.
5. Cliquez sur Mettre à jour.

Si votre instance de base de données de l'IA autonome est configurée pour utiliser un point d'extrémité privé, vous pouvez modifier la configuration pour utiliser un point d'extrémité public.

1. Dans la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Mettre à jour l'accès au réseau.
2. Dans la boîte de dialogue Mettre à jour l'accès au réseau, sélectionnez l'une des options Accès sécurisé de partout ou Accès sécurisé depuis les adresses IP autorisées et les réseaux en nuage virtuels uniquement.

   Par exemple, si vous sélectionnez Accès sécurisé depuis les adresses IP et les réseaux en nuage virtuels autorisés seulement, la boîte de dialogue affiche les champs permettant de configurer les règles de contrôle d'accès :

   
   Description de l'illustration adb_network_access_update.png
3. Dans la boîte de dialogue, sous Configurer les règles de contrôle d'accès, indiquez les règles en sélectionnant un type de notation d'adresse IP et des valeurs :
   • adresse IP :

     Dans le champ Valeurs, entrez des valeurs pour l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau est l'adresse IP publique du client qui est visible sur le réseau Internet public et à laquelle vous voulez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

     Note
     
     Facultativement, sélectionnez Ajouter mon adresse IP pour ajouter votre adresse IP courante à l'entrée de liste de contrôle d'accès.
   • Bloc CIDR :

     Dans le champ Valeurs, entrez des valeurs pour le bloc CIDR. Le bloc CIDR spécifié est le bloc CIDR public des clients qui sont visibles sur le réseau Internet public auxquels vous voulez accorder l'accès.

   • Réseau en nuage virtuel :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     • Dans le champ Réseau en nuage virtuel, sélectionnez le réseau VCN à partir duquel vous voulez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour voir les réseaux en nuage virtuels de votre location, cette liste est vide. Dans ce cas, utilisez l'OCID (réseau en nuage virtuel) de sélection pour spécifier l'OCID du VCN.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
   • Réseau en nuage virtuel (OCID) :

     Utilisez cette option lorsque la route réseau du client vers la base de données passe par une passerelle de service Oracle Cloud Infrastructure Service Gateway. Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

     • Dans le champ Valeurs, entrez l'OCID du réseau en nuage virtuel à partir duquel vous voulez accorder l'accès.
     • Facultativement, dans le champ Adresses IP ou blocs CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

   Si vous voulez indiquer plusieurs adresses IP ou intervalles CIDR dans le même réseau en nuage virtuel, ne créez pas plusieurs entrées dans la liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès contenant les valeurs des adresses IP ou des intervalles CIDR multiples séparées par des virgules.

4. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
5. Cliquez sur x pour supprimer une entrée.
   Vous pouvez également effacer la valeur dans le champ Adresses IP ou Blocs CIDR pour supprimer une entrée.
6. Cliquez sur Mettre à jour.
7. Dans la boîte de dialogue Confirmer, entrez le nom de la base de données de l'IA autonome pour confirmer la modification.
8. Dans la boîte de dialogue Confirmer, cliquez sur Mettre à jour.

Décrit les restrictions et les notes relatives aux règles de contrôle d'accès pour la base de données IA autonome.

• Voir Intervalles d'adresses IP pour plus d'informations sur les intervalles d'adresses IP publiques dans Oracle Cloud Infrastructure. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance de base de données d'intelligence artificielle autonome sur un point d'extrémité public.

• Si vous voulez autoriser uniquement les connexions passant par une passerelle de service, vous devez utiliser l'adresse IP de la passerelle de service dans la définition de la liste de contrôle d'accès. Pour ce faire, ajoutez une définition de liste de contrôle d'accès avec la valeur 240.0.0.0/4 comme type de source CIDR. Notez que cela n'est pas recommandé. Au lieu de cela, vous pouvez spécifier dans votre définition de liste de contrôle d'accès les réseaux en nuage virtuels individuels à partir desquels vous voulez autoriser l'accès.

  Voir Accès aux services Oracle : Passerelle de service pour plus d'informations.

• Lors de la restauration d'une base de données, les listes de contrôle d'accès existantes ne sont pas remplacées par cette opération.

• Les listes de contrôle d'accès au réseau s'appliquent aux connexions à la base de données et aux carnets Oracle Machine Learning. Si une LCA est définie et que vous tentez de vous connecter aux carnets Oracle Machine Learning à partir d'un client dont l'adresse IP ne figure pas dans la liste, l'erreur "connexion refusée en fonction de la liste de contrôle d'accès définie par l'administrateur" est affichée.

• Les outils de base de données d'IA autonome suivants sont soumis aux listes de contrôle d'accès. Vous pouvez utiliser des LCA avec les options Réseau en nuage virtuel, Réseau en nuage virtuel (identificateur Oracle Cloud), Adresse IP ou Bloc CIDR pour contrôler l'accès à ces outils :

  • Database Actions
  • Oracle APEX
  • Oracle Graph Studio
  • Carnets Oracle Machine Learning
  • Services de données Oracle REST

• Si, dans votre réseau VCN, vous disposez d'un sous-réseau privé configuré pour accéder à l'Internet public au moyen d'une passerelle NAT, vous devez entrer l'adresse IP publique de cette dernière dans votre définition de liste de contrôle d'accès. Les clients du sous-réseau privé n'ont pas d'adresses IP publiques. Voir Passerelle NAT pour plus d'informations.

• Si vous utilisez des listes de contrôle d'accès et que les connexions TLS sont permises, vous devez modifier la configuration de votre réseau pour interdire les connexions TLS avant de supprimer toutes les listes de contrôle d'accès. Pour plus d'informations, voir Mettre à jour votre instance de base de données autonome avec intelligence artificielle pour exiger mTLS et interdire l'authentification TLS.

• Pour voir les informations sur le réseau de votre instance, voir Voir les informations sur le réseau dans la console OCI.