Gestion des sources réseau
Cette rubrique décrit les notions de base de l'utilisation des sources réseau.
Stratégie IAM requise
Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les sources réseau. Afin d'écrire des stratégies spécifiquement pour des sources réseau, utilisez le type d'une ressource ressources network-sources. Elle se trouve avec les autres composants IAM dans Détails relatifs à l'IAM sans domaine d'identité.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.
Balisage des ressources
Appliquez des balises aux ressources afin de les organiser selon les besoins de votre entreprise. Vous pouvez appliquer des balises lorsque vous créez une ressource, et vous pouvez mettre à jour une ressource ultérieurement pour ajouter, réviser ou enlever des balises. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.
Introduction aux sources réseau
Une source réseau est un ensemble d'adresses IP définies. Les adresses IP peuvent être publiques ou issues de réseaux cloud virtuels de la location. Une fois la source réseau créée, vous pouvez la référencer dans la stratégie ou dans les paramètres d'authentification de votre location pour contrôler l'accès en fonction de l'adresse IP d'origine.
Les sources réseau peuvent uniquement être créées dans la location (ou la compartiment racine) et, comme d'autres ressources IAM, résident dans la région d'origine. Pour plus d'informations sur le nombre de sources réseau dont vous pouvez disposer, reportez-vous à Limites d'IAM sans domaine d'identité.
Vous pouvez utiliser les sources réseau pour sécuriser votre location de l'une des manières suivantes :
- Indiquez la source réseau dans la stratégie IAM pour limiter l'accès aux ressources.
Quand une ressource est indiquée dans une stratégie, IAM vérifie que les demandes d'accès à une ressource proviennent d'une adresse IP autorisée.
Par exemple, vous pouvez limiter l'accès aux buckets Object Storage de la location aux utilisateurs qui sont connectés à Oracle Cloud Infrastructure via le réseau d'entreprise. Vous pouvez également autoriser uniquement les ressources appartenant à des sous-réseaux précis d'un réseau cloud virtuel spécifique à effectuer des demandes via une passerelle de service.
- Indiquez la source réseau dans les paramètres d'authentification de votre location pour restreindre la connexion à la console.
Vous pouvez configurer une stratégie d'authentification de votre location pour autoriser uniquement la connexion à la console à partir des adresses IP spécifiées dans votre source réseau. Les utilisateurs qui tentent de se connecter à partir d'une adresse IP ne figurant pas sur la liste autorisée dans votre source réseau ne pourront pas y accéder. Pour plus d'informations sur l'utilisation d'une restriction de source réseau dans la stratégie d'authentification, reportez-vous à Gestion des paramètres d'authentification.
Autorisation de l'accès aux ressources à partir d'adresses IP spécifiées uniquement
Pour restreindre l'accès aux demandes provenant d'un ensemble d'adresses IP, procédez comme suit :
- Créez une source réseau qui spécifie les adresses IP autorisées.
- Ecrivez une stratégie qui utilise la variable de source réseau dans une condition.
1. Création de la source réseau
Suivez les instructions fournies pour la console ou l'API afin de créer la source réseau.
Une même source réseau peut inclure les adresses IP d'un réseau cloud virtuel donné et/ou des adresses IP publiques.
Pour indiquer le réseau cloud virtuel, vous avez besoin de l'OCID correspondant et des plages d'adresses IP de sous-réseau que vous souhaitez autoriser.
Exemples :
- Blocs CIDR ou adresses IP publiques : 192.0.2.143 ou 192.0.2.0/24
- OCID VCN : ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
Blocs CIDR ou adresses IP de sous-réseau : 10.0.0.4, 10.0.0.0/16
Pour autoriser toutes les adresses IP d'un réseau cloud virtuel spécifique, utilisez 0.0.0.0/0.
2. Ecriture de la stratégie
Le service IAM inclut une variable à utiliser dans la stratégie pour en définir la portée à l'aide d'une condition. Il s'agit de la variable suivante :
request.networkSource.name
Une fois la source réseau créée, vous pouvez définir la portée de stratégies en utilisant cette variable dans une condition. Par exemple, supposons que vous créiez une source réseau nommée "corpnet". Vous pouvez limiter l'accès des utilisateurs du groupe "CorporateUsers" aux ressources Object Storage uniquement lorsque leurs demandes proviennent des adresses IP indiquées dans corpnet. Pour ce faire, écrivez une stratégie de ce type :
allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'Cette stratégie permet aux utilisateurs du groupe CorporateUsers de gérer les ressources Object Storage uniquement lorsque leurs demandes proviennent d'une adresse IP autorisée indiquée dans la source réseau "corpnet". Les demandes provenant d'adresses IP situées hors des plages indiquées sont refusées. Pour obtenir des informations générales sur l'écriture des stratégies, reportez-vous à Fonctionnement des stratégies.
Utilisation de la console pour gérer les sources réseau
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Sources réseau. La liste des sources réseau de la location est affichée.
- Sélectionnez Créer une source de réseau.
- Entrez les informations suivantes :
- Nom : nom unique de la source réseau. Le nom doit être unique dans votre location. Vous ne pouvez pas modifier cet élément ultérieurement. Evitez de saisir des informations confidentielles.
- Description : description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Type de réseau : sélectionnez l'une des options suivantes :
Réseau public : entrez une adresse IP spécifique ou un intervalle de blocs CIDR. Par exemple : 192.0.2.143.
Sélectionnez Autre adresse IP/Bloc CIDR pour ajouter une autre adresse ou plage autorisée.
- Réseau cloud virtuel : saisissez les informations suivantes pour cette option :
OCID de VCN : entrez l'OCID du VCN à autoriser.
Par exemple : ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
Adresse IP/Bloc CIDR : entrez une adresse IP à partir du VCN ou d'un bloc CIDR de sous-réseau. Par exemple : 10.0.0.0/16 ou 10.0.0.4.
Pour autoriser tous les sous-réseaux du réseau cloud virtuel indiqué, entrez 0.0.0.0/0.
Sélectionnez Autre adresse IP/bloc CIDR pour ajouter une autre adresse ou plage autorisée à partir du même VCN.
- Pour ajouter d'autres plages d'adresses IP à cette source réseau, sélectionnez Ajouter une source.
- Afficher les options avancées : si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès nécessaires pour lui appliquer des balises de format libre. Pour appliquer une balise defined, vous devez disposer des droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Choisissez Créer.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Sources réseau. La liste des sources réseau de la location est affichée.
- Localisez la source réseau dans la liste, puis sélectionnez son nom pour en visualiser les détails.
- Modifiez la source réseau :
- Pour ajouter d'autres adresses IP autorisées à cette source réseau, sélectionnez Ajouter des sources. Dans la boîte de dialogueAjouter des sources, sélectionnez de nouveau Ajouter la source, puis entrez les détails de chaque adresse IP ou bloc CIDR à ajouter à la source réseau.
- Pour enlever une source autorisée, sélectionnez le menu et sélectionnez Supprimer.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. La liste des sources réseau de la location est affichée.
- Localisez la source réseau dans la liste et sélectionnez le menu de l'élément.
- SélectionnezSupprimer.
- Confirmez l'opération lorsque vous y êtes invité.
Utilisation de l'API
Pour plus d'autres informations sur l'utilisation de l'API et sur la signature des demandes, reportez-vous à ladocumentation relative aux API REST et aux informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Utilisez les opérations d'API suivantes pour gérer les sources réseau :
Création de l'objet de source réseau
Voici un exemple d'objet de source réseau :
{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}
],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}Il contient les éléments suivants :
virtualSourceList: indique le réseau cloud virtuel (OCID) et les plages d'adresses IP de sous-réseau correspondantes pour lesquelles l'accès est autorisé. L'élémentvirtualSourceListdoit contenir les plages d'adresses IP de sous-réseau et l'OCID du réseau cloud virtuel :vcnID: OCID du réseau cloud virtuelIpRanges: liste des adresses IP ou des blocs CIDR (séparés par une virgule) des sous-réseaux appartenant au réseau cloud virtuel spécifié qui sont autorisés à accéder à la ressource. Pour autoriser toutes les plages du réseau cloud virtuel spécifié, saisissez 0.0.0.0/0.
publicSourceList: liste des plages d'adresses IP publiques (séparées par une virgule) pour lesquelles l'accès est autorisé.
Exemple :
{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}