Gestion des sources réseau
Cette rubrique décrit les notions de base de l'utilisation des sources réseau.
Stratégie IAM requise
Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis pour gérer les sources réseau. Afin d'écrire des stratégies spécifiquement pour les sources réseau, utilisez le type de ressource network-sources. Il se trouve avec les autres composants IAM dans Détails relatifs à IAM sans domaine d'identité.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.
Balisage des ressources
Appliquez des balises à vos ressources afin de les organiser selon les besoins de votre entreprise. Appliquer des balises lors de la création d'une ressource ou mettre à jour la ressource ultérieurement avec les balises souhaitées. Pour obtenir des informations générales sur l'application de balises, reportez-vous à Balises de ressource.
Introduction aux sources réseau
Une source réseau est un ensemble d'adresses IP définies. Les adresses IP peuvent être publiques ou issues de réseaux cloud virtuels de la location. Une fois la source réseau créée, vous pouvez la référencer dans la stratégie ou dans les paramètres d'authentification de votre location pour contrôler l'accès en fonction de l'adresse IP d'origine.
Les sources réseau peuvent uniquement être créées dans la location (ou le compartiment racine) et, comme les autres ressources IAM, résident dans la région d'origine. Pour plus d'informations sur le nombre de sources réseau dont vous pouvez disposer, reportez-vous à Limites d'IAM sans domaine d'identité.
Vous pouvez utiliser les sources réseau pour sécuriser votre location de l'une des manières suivantes :
- Indiquez la source réseau dans la stratégie IAM pour limiter l'accès aux ressources.
Quand une source réseau est indiquée dans une stratégie, IAM vérifie que les demandes d'accès à une ressource proviennent d'une adresse IP autorisée.
Par exemple, vous pouvez limiter l'accès aux buckets Object Storage de la location aux utilisateurs connectés à Oracle Cloud Infrastructure via le réseau d'entreprise. Vous pouvez également autoriser uniquement les ressources appartenant à des sous-réseaux précis d'un réseau cloud virtuel spécifique à effectuer des demandes via une passerelle de service.
- Indiquez la source réseau dans les paramètres d'authentification de votre location pour limiter la connexion à la console.
Vous pouvez configurer la stratégie d'authentification de votre location pour autoriser la connexion à la console uniquement à partir des adresses IP spécifiées dans votre source réseau. Les utilisateurs qui tentent de se connecter à partir d'une adresse IP ne figurant pas sur la liste autorisée dans votre source réseau ne pourront pas y accéder. Pour plus d'informations sur l'utilisation d'une restriction de source réseau dans la stratégie d'authentification, reportez-vous à Gestion des paramètres d'authentification.
Autorisation de l'accès aux ressources à partir d'adresses IP spécifiées uniquement
Pour restreindre l'accès aux demandes provenant d'un ensemble d'adresses IP, procédez comme suit :
- Créez une source réseau qui spécifie les adresses IP autorisées.
- Ecrivez une stratégie qui utilise la variable de source réseau dans une condition.
1. Création de la source réseau
Suivez les instructions fournies pour la console ou l'API afin de créer la source réseau.
Une même source réseau peut inclure les adresses IP d'un réseau cloud virtuel donné et/ou des adresses IP publiques.
Pour indiquer le réseau cloud virtuel, vous avez besoin de l'OCID correspondant et des plages d'adresses IP de sous-réseau que vous souhaitez autoriser.
Exemples :
- Blocs CIDR ou adresses IP publiques : 192.0.2.143 ou 192.0.2.0/24
- OCID de réseau cloud virtuel : ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID
Blocs CIDR ou adresses IP de sous-réseau : 10.0.0.4, 10.0.0.0/16
Pour autoriser toutes les adresses IP d'un réseau cloud virtuel spécifique, utilisez 0.0.0.0/0.
2. Ecriture de la stratégie
Le service IAM inclut une variable à utiliser dans les stratégies pour en définir la portée à l'aide d'une condition. Il s'agit de la variable suivante :
request.networkSource.name
Une fois la source réseau créée, vous pouvez définir la portée de stratégies en utilisant cette variable dans une condition. Par exemple, supposons que vous créiez une source réseau nommée "corpnet". Vous pouvez définir une limite pour les utilisateurs du groupe "CorporateUsers" de sorte qu'ils n'accèdent aux ressources Object Storage que si leurs demandes proviennent des adresses IP indiquées dans corpnet. Pour ce faire, écrivez une stratégie de ce type :
allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'Cette stratégie permet aux utilisateurs du groupe CorporateUsers de gérer les ressources Object Storage uniquement lorsque leurs demandes proviennent d'une adresse IP autorisée indiquée dans la source réseau "corpnet". Les demandes provenant d'adresses IP situées hors des plages indiquées sont refusées. Pour obtenir des informations générales sur l'écriture des stratégies, reportez-vous à Fonctionnement des stratégies.
Utilisation de la console pour gérer les sources réseau
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identity, cliquez sur Network Sources. La liste des sources réseau de la location est affichée.
- Cliquez sur Créer une source réseau.
- Entrez les informations suivantes :
- Nom : nom unique de la source réseau. Le nom doit être unique dans votre location. Vous ne pouvez pas modifier cet élément ultérieurement. Evitez de saisir des informations confidentielles.
- Description : description conviviale. Vous pourrez modifier cet élément ultérieurement si vous le souhaitez.
- Type de réseau : sélectionnez l'une des options suivantes :
Réseau public : entrez une adresse IP spécifique ou une plage de blocs CIDR. Par exemple : 192.0.2.143.
Cliquez sur Une autre adresse IP/Un autre bloc CIDR pour ajouter une autre adresse ou plage autorisée.
- Réseau cloud virtuel : saisissez les informations suivantes pour cette option :
OCID de réseau cloud virtuel : entrez l'OCID du réseau cloud virtuel que vous souhaitez autoriser.
Par exemple : ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
Adresse IP/Bloc CIDR : saisissez une adresse IP du réseau cloud virtuel ou un bloc CIDR de sous-réseau. Par exemple : 10.0.0.0/16 ou 10.0.0.4.
Pour autoriser tous les sous-réseaux du réseau cloud virtuel indiqué, entrez 0.0.0.0/0.
Cliquez sur Une autre adresse IP/Un autre bloc CIDR pour ajouter une autre adresse ou plage autorisée du même réseau cloud virtuel.
- Pour ajouter d'autres plages d'adresses IP à cette source réseau, cliquez sur Ajouter une source.
- Afficher les options avancées : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour appliquer des balises de format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
- Cliquez sur Créer.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identity, cliquez sur Network Sources. La liste des sources réseau de la location est affichée.
- Localisez la source réseau dans la liste, puis cliquez sur son nom pour en visualiser les détails.
- Modifiez la source réseau :
- Pour ajouter d'autres adresses IP autorisées à cette source réseau, cliquez sur Ajouter des sources. Dans la boîte de dialogue Ajouter des sources, cliquez de nouveau sur Ajouter une source, puis entrez les détails de chaque adresse IP ou bloc CIDR à ajouter à la source réseau.
- Pour enlever une source autorisée, cliquez sur le menu Actions (
), puis sur Supprimer.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes. La liste des sources réseau de la location est affichée.
- Localisez la source réseau dans la liste, puis cliquez sur le menu Actions () correspondant.
- Cliquez sur Supprimer.
- Confirmez l'opération lorsque vous y êtes invité.
Utilisation de l'API
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Utilisez les opérations d'API suivantes pour gérer les sources réseau :
Création de l'objet de source réseau
Voici un exemple d'objet de source réseau :
{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}
],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}Il contient les éléments suivants :
virtualSourceList: indique le réseau cloud virtuel (OCID) et les plages d'adresses IP de sous-réseau correspondantes pour lesquelles l'accès est autorisé. L'élémentvirtualSourceListdoit contenir les plages d'adresses IP de sous-réseau et l'OCID du réseau cloud virtuel :vcnID: OCID du réseau cloud virtuelIpRanges: liste des adresses IP ou des blocs CIDR (séparés par une virgule) des sous-réseaux appartenant au réseau cloud virtuel spécifié qui sont autorisés à accéder à la ressource. Pour autoriser toutes les plages du réseau cloud virtuel spécifié, saisissez 0.0.0.0/0.
publicSourceList: liste des plages d'adresses IP publiques (séparées par une virgule) pour lesquelles l'accès est autorisé.
Exemple :
{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}