Documentation Oracle Cloud Infrastructure

Contrôle d'accès

Cette rubrique fournit les informations de base sur l'utilisation des compartiments et les stratégies IAM pour contrôler l'accès à un réseau cloud.

Compartiments et réseau cloud

Chaque fois que vous créez une ressource cloud telle qu'une instance de réseau cloud virtuel (VCN) ou de calcul, vous devez indiquer le compartiment IAM dans lequel la ressource doit se trouver. Un compartiment est un ensemble de ressources liées dont l'accès est limité à certains groupes possédant un droit d'accès accordé par un administrateur. L'administrateur crée les compartiments et les stratégies IAM correspondantes afin de contrôler quels utilisateurs peuvent accéder à quels compartiments. L'objectif est de s'assurer que chaque personne ne peut accéder qu'aux ressources dont elle a besoin.

Si une entreprise commence à essayer Oracle Cloud Infrastructure, seules quelques personnes ont besoin de créer et de gérer le VCN et ses composants, de créer des instances dans le VCN et d'attacher des volumes de stockage de blocs à ces instances. Ces quelques personnes ont besoin d'accéder à toutes ces ressources, qui peuvent donc se trouver dans le même compartiment.

Dans un environnement de production d'entreprise avec un VCN, une entreprise peut utiliser de nombreux compartiments pour contrôler plus facilement l'accès à certains types de ressources. Par exemple, un administrateur peut créer Compartment_A pour un VCN et d'autres composants réseau. Il peut ensuite créer Compartment_B pour toutes les instances Compute et pour tous les volumes de stockage de blocs que l'organisation RH utilise, et Compartment_C pour l'ensemble des instances et des volumes de stockage de blocs que l'organisation Marketing utilise. L'administrateur doit ensuite créer des stratégies IAM qui octroient uniquement aux utilisateurs le niveau d'accès dont ils ont besoin dans chaque compartiment. Par exemple, l'administrateur d'instance RH n'est pas autorisé à modifier le réseau cloud existant. Ils disposent donc des droits d'accès complets pour Compartment_B, mais un accès limité à Compartment_A (juste ce qu'il faut pour créer des instances sur le réseau). S'il tente de changer d'autres ressources dans Compartment_A, sa demande sera refusée.

Les ressources réseau, telles que les réseaux cloud virtuels, les sous-réseaux, les tables de routage, les listes de sécurité, les passerelles de service, les passerelles NAT, les connexions VPN et les connexions FastConnect, peuvent être déplacées d'un compartiment à un autre. Lorsque vous déplacez une ressource vers un nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement.

Pour plus d'informations sur ces compartiments et le contrôle de l'accès aux ressources cloud, reportez-vous à la section En savoir plus sur la configuration de votre location et à la Présentation d'Identity and Access Management.

Stratégies IAM pour Networking

La méthode la plus simple pour accorder l'accès à Networking est d'utiliser la stratégie répertoriée dans Autoriser les administrateurs réseau à gérer un réseau cloud. Elle couvre le réseau cloud et tous les autres composants Networking (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour permettre aux administrateurs réseau de créer des instances (afin de tester la connectivité réseau), reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.

Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.

Afin d'obtenir des documents de référence sur l'écriture de stratégies plus détaillées pour Networking, reportez-vous à Détails des services de base.

Types de ressource individuelle

Vous pouvez écrire des stratégies qui se concentrent sur des types de ressource individuelle (par exemple, uniquement les listes de sécurité) au lieu du type virtual-network-family plus large. Le type de ressource instance-family inclut également plusieurs droits pour les cartes d'interface réseau virtuelles, qui résident dans un sous-réseau mais qui sont attachées à une instance. Pour plus d'informations, reportez-vous à Détails des combinaisons de verbe et de type de ressource et à Cartes d'interface réseau virtuelles (VNIC).

Un type de ressource appelé local-peering-gateways est inclus dans virtual-network-family et inclut deux autres types de ressource liés à l'appairage VCN local (dans la région) :

  • local-peering-from
  • local-peering-to

Le type de ressource local-peering-gateways couvre tous les droits d'accès relatifs aux passerelles d'appairage local. Les types de ressource local-peering-from et local-peering-to permettent d'accorder le droit de connexion à deux passerelles d'appairage local et de définir une relation d'appairage au sein d'une seule région. Pour plus d'informations, reportez-vous à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans la même location) ou à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans différentes locations).

De même, un type de ressource appelé remote-peering-connections est inclus dans virtual-network-family et inclut deux autres types de ressource liés à l'appairage VCN distant (entre les régions) :

  • remote-peering-from
  • remote-peering-to

Le type de ressource remote-peering-connections couvre tous les droits d'accès relatifs aux connexions d'appairage à distance. Les types de ressource remote-peering-from et remote-peering-to permettent d'accorder le droit de connecter deux RPC et de définir une relation d'appairage entre des régions. Pour plus d'informations, reportez-vous à Appairage à distance avec un DRG hérité et à Appairage à distance avec un DRG mis à niveau.

Nuances des différents verbes

Vous pouvez écrire des stratégies qui limitent le niveau d'accès en utilisant un verbe de stratégie différent (manage au lieu de use, etc.). Si vous le faites, voici quelques nuances à comprendre sur les verbes de stratégie pour Networking.

Gardez à l'esprit que le verbe inspect ne renvoie pas uniquement des informations générales sur les composants du réseau cloud (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routages de la table de routage, etc.).

En outre, les types de fonction suivants sont disponibles uniquement avec le verbe manage, et non avec le verbe use :

  • Mettre à jour (activer/désactiver) internet-gateways
  • Mettre à jour security-lists
  • Mettre à jour route-tables
  • Mettre à jour dhcp-options
  • Attachement d'une passerelle de routage dynamique (DRG) à un réseau cloud virtuel (VCN)
  • Créer une connexion IPSec entre une passerelle de routage dynamique et un CPE (Customer-Premises Equipment)
  • Appairer des réseaux cloud virtuels
Important

Chaque réseau cloud virtuel dispose de divers composants qui affectent directement le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre ce composant et le réseau cloud virtuel, ce qui signifie qu'une stratégie doit vous autoriser à créer le composant et à gérer le réseau cloud virtuel. Cependant, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) n'exige pas l'autorisation de gérer le VCN lui-même, même si la modification de ce composant peut affecter directement le comportement du réseau. Cette divergence est conçue pour vous donner la flexibilité d'accorder le moindre privilège aux utilisateurs, et ne vous oblige pas à accorder un accès excessif au VCN afin que l'utilisateur puisse gérer d'autres composants du réseau. Gardez à l'esprit qu'en donnant à un utilisateur la possibilité de mettre à jour un type de composant particulier, vous lui faites implicitement confiance en ce qui concerne le contrôle du comportement du réseau.

Pour plus d'informations sur les verbes de stratégie, reportez-vous à Notions de base relatives aux stratégies.

Stratégies d'appairage

Pour connaître les stratégies utilisées lors de la connexion d'un DRG aux réseaux cloud virtuels et aux passerelles de routage dynamique dans d'autres régions et locations, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.