Documentation Oracle Cloud Infrastructure

Connexion aux sessions dans Bastion

Cette rubrique explique comment se connecter aux sessions de bastion.

Pour plus d'informations sur la création et la gestion de sessions de bastion, reportez-vous à Gestion des sessions dans le bastion. Pour plus d'informations sur la création et la gestion des bastions, reportez-vous à Gestion des bastions.

Les bastions sont des services gérés par Oracle. Vous utilisez un bastion pour créer des sessions SSH (Secure Shell) qui permettent d'accéder à d'autres ressources privées. Toutefois, vous ne pouvez pas vous connecter directement à un bastion via SSH et l'administrer ou le surveiller comme un hôte traditionnel.

Lors de la connexion à une session de bastion, nous vous recommandons de suivre les meilleures pratiques de SSH décrites dans Sécurisation de Bastion.

Vous pouvez vous connecter aux types de session suivants :

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indiquant que vous ne possédez pas de droits d'accès ou des autorisations nécessaires, vérifiez auprès du l'administrateur le type d'accès qui vous avez été octroyé et le compartiment dans lequel vous souhaitez travailler.

Pour utiliser toutes les fonctionnalités de Bastion, vous devez disposer des droits d'accès suivants :

  • Gérer des bastions, des sessions et des réseaux
  • Lire les instances de calcul
  • Lire l'agent d'instance de calcul (agent Oracle Cloud)
  • Inspecter des demandes de travail
Exemple de stratégie :
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Pour obtenir des informations détaillées sur les stratégies, ainsi que d'autres exemples, reportez-vous à Stratégies IAM pour Bastion.

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Autorisation de l'accès réseau à partir du bastion

Le réseau cloud virtuel  dans lequel la ressource cible a été créée doit autoriser le trafic réseau entrant à partir du bastion sur le port cible.

Par exemple, si vous voulez utiliser une session pour vous connecter au port 8001 sur une instance  de calcul à partir d'un bastion avec l'adresse IP 192.168.0.99, le sous-réseau utilisé pour accéder à l'instance doit autoriser le trafic entrant à partir de 192.168.0.99 sur le port 8001.

  1. Sur la page de liste Bastions, recherchez le bastion à utiliser. Si vous avez besoin d'aide pour trouver la page de liste ou le bastion, reportez-vous à Liste des bastions.
  2. Sélectionnez le nom du bastion.
  3. Copiez l'adresse IP de l'adresse privée.
  4. Sélectionnez le sous-réseau cible.

    Si la ressource cible se trouve sur un sous-réseau différent de celui utilisé par le bastion pour accéder à ce réseau cloud virtuel, modifiez le sous-réseau de la ressource cible.

  5. Sur la page Détails du sous-réseau, cliquez sur une liste de sécurité existante affectée à ce sous-réseau.

    Vous pouvez également créer une liste de sécurité et l'affecter à ce sous-réseau.

  6. Sélectionnez Ajouter des règles entrantes.
  7. Pour CIDR source, entrez un bloc CIDR qui inclut l'adresse IP de l'adresse privée du bastion.

    Par exemple, le bloc CIDR <bastion_private_IP>/32 inclut uniquement l'adresse IP du bastion.

  8. Pour Protocole IP, sélectionnez TCP.
  9. Dans Plage de ports de destination, entrez le numéro de port sur la ressource cible.

    Pour les sessions SSH gérées, indiquez le port 22.

  10. Sélectionnez Ajouter des règles entrantes.

Pour plus d'informations, reportez-vous à Listes de sécurité.