Autorisation de l'accès aux ressources à partir d'adresses IP spécifiées uniquement

1. Création de la source réseau

Suivez les instructions fournies pour la console ou l'API afin de créer la source réseau.

Une même source réseau peut inclure les adresses IP d'un réseau cloud virtuel donné et/ou des adresses IP publiques.

Pour indiquer le réseau cloud virtuel, vous avez besoin de l'OCID correspondant et des plages d'adresses IP de sous-réseau que vous souhaitez autoriser.

Exemples :

• Blocs CIDR ou adresses IP publiques : 192.0.2.143 ou 192.0.2.0/24
• OCID de réseau cloud virtuel : ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

  • Blocs CIDR ou adresses IP de sous-réseau : 10.0.0.4, 10.0.0.0/16

    Pour autoriser toutes les adresses IP d'un réseau cloud virtuel spécifique, utilisez 0.0.0.0/0.

2. Ecriture de la stratégie

Le service IAM inclut une variable à utiliser dans les stratégies pour en définir la portée à l'aide d'une condition. Il s'agit de la variable suivante :

request.networkSource.name

Une fois la source réseau créée, vous pouvez définir la portée de stratégies en utilisant cette variable dans une condition. Par exemple, supposons que vous créiez une source réseau nommée "corpnet". Vous pouvez définir une limite pour les utilisateurs du groupe "CorporateUsers" de sorte qu'ils n'accèdent aux ressources Object Storage que si leurs demandes proviennent des adresses IP indiquées dans corpnet. Pour ce faire, écrivez une stratégie de ce type :

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Cette stratégie permet aux utilisateurs du groupe CorporateUsers de gérer les ressources Object Storage uniquement lorsque leurs demandes proviennent d'une adresse IP autorisée indiquée dans la source réseau "corpnet". Les demandes provenant d'adresses IP situées hors des plages indiquées sont refusées. Pour obtenir des informations générales sur l'écriture des stratégies, reportez-vous à Fonctionnement des stratégies.