Documentation sur Oracle Cloud Infrastructure

Création d'une liste de sécurité

Sur Compute Cloud@Customer, vous pouvez créer une liste de sécurité pour un réseau VCN.

Avant de créer une liste de sécurité, consultez les règles de sécurité déjà définies dans la liste de sécurité par défaut et toute autre liste de sécurité pour ce VCN. Voir Consultation des listes de sécurité.

Une liste de sécurité doit comporter au moins une règle. Il n'est pas nécessaire qu'une liste de sécurité comporte à la fois des règles entrantes et sortantes.

Évitez d'entrer des informations confidentielles dans les noms et les balises.

    1. Dans le menu de navigation de la console Compute Cloud@Customer, sélectionnez Réseau, puis Réseaux en nuage virtuels.

    2. En haut de la page, sélectionnez le compartiment qui contient le VCN dans lequel vous voulez créer un sous-réseau.

    3. Sélectionnez le nom du VCN pour lequel vous voulez créer une liste de sécurité.

      La page des détails du VCN s'affiche.

    4. Sous Ressources, sélectionnez Listes de sécurité.

    5. Sélectionnez Créer une liste de sécurité.

    6. Dans la boîte de dialogue Create Security List, entrez les informations suivantes :

      • Nom : Entrez un nom descriptif pour la liste de sécurité. Le nom ne doit pas nécessairement être unique. Évitez d'entrer des informations confidentielles. (Le nom ne peut pas être modifié plus tard dans la console, mais il peut être modifié avec l'interface de ligne de commande).

      • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer la liste de sécurité.

    7. Ajoutez au moins une règle.

      Pour ajouter une ou plusieurs règles entrantes, sélectionnez +New Rule (Règle de trafic entrant) dans la zone Allow Rules for Ingress (Autoriser les règles pour le trafic entrant). Entrez les informations suivantes :

      • Sans état : Si vous voulez que la nouvelle règle soit sans état, cochez cette case. Par défaut, les règles de liste de sécurité sont avec état et s'appliquent à une demande et à sa réponse coordonnée.

      • CIDR : Bloc CIDR pour le trafic entrant ou sortant.

      • Protocole IP : La règle peut s'appliquer à tous les protocoles IP, ou à des choix tels que ICMP, TCP ou UDP. Sélectionnez le protocole dans la liste déroulante.

        • Intervalle de ports : Pour certains protocoles, tels que TCP ou UDP, vous pouvez fournir un intervalle de ports source et un intervalle de ports de destination.

        • Type et code de paramètre : Pour ICMP, vous pouvez sélectionner un type de paramètre et le code de paramètre correspondant.

      • Description : Description facultative de la règle.

    8. Marquage : (Facultatif) Ajoutez un ou plusieurs marqueurs à cette ressource. Les marqueurs peuvent également être appliqués ultérieurement. Pour plus d'informations sur le marquage des ressources, voir Ajout de marqueurs à la création de ressources (IAM dans OCI).

    9. Sélectionnez Créer une liste de sécurité.

      La page de détails de la nouvelle liste de sécurité s'affiche. Vous pouvez spécifier cette liste de sécurité lors de la création ou de la mise à jour d'un sous-réseau.

  • Utilisez la commande oci network security-list create et les paramètres requis pour créer une nouvelle liste de sécurité pour le VCN spécifié.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Pour la liste complète des commandes, indicateurs et options de l'interface de ligne de commande, voir Référence de ligne de commande.

    Procédure

    1. Collectez les informations dont vous avez besoin pour exécuter la commande :

      • OCID du compartiment dans lequel vous voulez créer cette liste de sécurité (oci iam compartment list)

      • OCID du VCN pour cette liste de sécurité (oci network vcn list --compartment-id compartment_OCID)

    2. Construisez des arguments pour les options --ingress-security-rules et --egress-security-rules.

      Les règles de sécurité sont au format JSON. Pour voir comment formater une règle, utilisez la commande suivante :

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Utilisez la même commande avec egress-security-rules.

      Les règles de sécurité de trafic entrant et sortant sont les mêmes, sauf que les règles de trafic entrant ont des propriétés source et sourceType, tandis que les règles de trafic sortant ont des propriétés destination et destinationType.

      La valeur de la propriété protocol est all ou l'un des nombres suivants : 1 pour ICMP, 6 pour TCP ou 17 pour UDP.

      Ou, vous pouvez list ou get la liste de sécurité par défaut ou une autre liste de sécurité et copier les valeurs des propriétés egress-security-rules et ingress-security-rules.

      Placez les informations pour les règles de cette nouvelle liste de sécurité aux endroits appropriés dans le format, ou remplacez les informations dans les règles que vous avez copiées.

      La valeur des deux options de règle est soit une chaîne entre apostrophes, soit un fichier spécifié comme file://path_to_file.json.

      Les règles de trafic sortant et entrant doivent figurer dans une liste. Si la liste des règles de trafic sortant ou la liste des règles de trafic entrant ne contient qu'un seul élément, cette règle unique doit être entre crochets, comme le seraient plusieurs règles. Voir la commande à l'étape suivante pour un exemple affichant une seule règle de trafic entrant.

      Les règles de trafic sortant et les règles de trafic entrant doivent être spécifiées. Voir la commande à l'étape suivante pour un exemple affichant aucune règle de trafic sortant.

    3. Exécutez la commande de création de liste de sécurité.

      Syntaxe :

      Exemple :

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilisez l'opération CreateSecurityList pour créer une nouvelle liste de sécurité pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.