Documentation Oracle Cloud Infrastructure

Adresses privées dans Object Storage

Découvrez comment utiliser des adresses privées pour atteindre vos buckets et objets Object Storage à l'aide d'une adresse IP privée dans votre VCN au lieu du réseau Internet public.

Les adresses privées fournissent un accès sécurisé à Object Storage à partir de vos réseaux cloud virtuels OCI ou de vos réseaux sur site. L'adresse privée est une carte d'interface réseau virtuelle avec une adresse IP privée dans un sous-réseau que vous choisissez dans votre VNC. Cette méthode est une alternative à l'utilisation d'une passerelle de service à l'aide d'adresses IP publiques associées aux services OCI.

Les adresses privées diffèrent des adresses dédiées car les adresses dédiées sont des adresses propres à la location qui ont chacune une chaîne d'espace de noms dédiée dans l'URL. Cet attribut assure une isolation complète afin de répondre aux exigences de sécurité et de conformité de votre organisation. Comme pour les URL d'adresse publique traditionnelles, les adresses dédiées sont résolues en adresse IP publique d'Object Storage.

En revanche, les adresses privées sont des adresses personnalisables qui se résolvent en adresse IP privée d'une VNIC. Les demandes vont à une adresse IP privée dans votre VCN. Le trafic est ensuite acheminé vers le service Object Storage à partir de la carte d'interface réseau virtuelle.

La création d'une adresse privée dans un VCN et son association à un bucket ne limite pas l'accès au bucket à partir d'Internet ou d'autres sources réseau. Vous devez définir des règles à l'aide de stratégies IAM sur le bucket, de sorte que les demandes ne sont autorisées que si elles proviennent d'un VCN spécifique ou d'un bloc CIDR dans ce VCN. Tous les autres accès, y compris via Internet, sont bloqués sur ces buckets. Pour plus d'informations, reportez-vous à Gestion des sources réseau.

Voici un exemple de stratégie permettant de limiter un bucket spécifique à une source réseau spécifique :

allow group groupName to manage objects in tenancy where all {target.bucket.name = 'bucketName', request.networkSource.name = 'networkSourceName'}

Lorsque vous créez une adresse privée, vous pouvez restreindre l'accès à certaines ressources Object Storage en indiquant des cibles d'accès. Chaque cible d'accès comprend les paramètres requis suivants :

  • Espace de noms : indique l'espace de noms cible qui doit être autorisé à sortir de l'adresse privée.
  • Compartiment : indique l'espace de noms/les compartiments auxquels l'adresse privée peut accéder. Vous pouvez configurer un seul compartiment ou tous les compartiments.
  • Bucket : indique les espaces de noms/buckets dans les compartiments autorisés auxquels l'adresse privée peut accéder. Vous pouvez configurer un seul bucket ou tous les buckets dans les compartiments autorisés.

Indiquez le nom du paramètre ou un caractère générique ("*") pour autoriser l'accès aux paramètres. Pour plus d'informations sur la configuration des cibles d'accès, reportez-vous à Création d'une adresse privée.

Chaque adresse privée doit avoir au moins une cible d'accès (10 au maximum).

Dans l'exemple suivant, une cible d'accès possède la configuration suivante :

  • Espace de noms = Namespace1
  • Compartiment = Compartment1
  • Bucket = Bucket1

Dans cette configuration, l'adresse privée a accès aux objets dans Bucket1, qui réside dans Compartment1 et qui appartient à Namespace1. Si vous déplacez un élément Bucket1 vers un autre compartiment (Compartment2), l'adresse privée ne peut plus accéder au bucket Bucket1.

L'ajout d'une cible d'accès ne vous accorde pas automatiquement l'accès au bucket ou à l'objet. Votre demande auprès d'Object Storage via l'adresse privée est toujours autorisée par OCI IAM afin de s'assurer qu'ils disposent des stratégies IAM appropriées pour accéder au bucket ou à l'objet.

Les buckets Object Storage utilisant une adresse privée ne sont pas limités à cette adresse privée uniquement. Les buckets utilisant une adresse privée peuvent également utiliser d'autres méthodes d'accès.

Vous pouvez effectuer les tâches d'adresse privée Object Storage suivantes :

Répertoriez les adresses privées Object Storage dans un compartiment.

Créez une adresse privée Object Storage.

Obtenez les détails d'une adresse privée Object Storage.

Modifiez les paramètres d'une adresse privée Object Storage.

Affichez les noms de domaine complets d'une adresse privée Object Storage.

Visualisez les cibles d'accès pour une adresse privée Object Storage.

Visualisez les demandes de travail d'adresse privée Object Storage dans un compartiment.

Supprimez une adresse privée Object Storage d'un compartiment.

Recherche de détails pour les ressources d'adresse privée

La nouvelle expérience de la console Oracle Cloud utilise des onglets pour organiser les informations sur la page de détails de chaque ressource d'adresse privée dans le service Object Storage.

Les sections suivantes décrivent les informations affichées dans les onglets des ressources d'adresse privée dans Object Storage. Selon le type de ressource, vous pouvez voir tout ou partie des onglets répertoriés ici.

Object Storage

Onglet Informations sur l'onglet
Détails
  • Général
  • Utilisation
Noms de domaine qualifiés complets
  • Noms de domaine qualifiés complets
Cibles d'accès
  • Demandes pré-authentifiées
  • Téléchargements multipart non validés
Demandes de travail
  • Demandes de travail
Balises
  • Balises

Stratégies IAM

Utilisez des stratégies pour limiter l'accès aux adresses privées Object Storage. Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Les droits d'accès suivants sont requis pour effectuer les opérations correspondantes :

Allow group groupName to manage objectstorage-private-endpoint in tenancy
Allow group groupName to manage virtual-network-family in tenancy

Nous vous recommandons d'ajouter les stratégies IAM suivantes pour autoriser la gestion des adresses privées Object Storage :

IAM Policies
Opération Droits d'accès IAM Object Storage Autres droits d'accès IAM

Créer une adresse privée

OBJECTSTORAGE_ PRIVATE_ENDPOINT_CREATE

VNIC_CREATE (compartiment d'adresse privée)

VNIC_DELETE (compartiment d'adresse privée)

SUBNET_ATTACH (compartiment du sous-réseau)

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (compartiment d'adresse privée)

VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (compartiment d'adresse privée)

Liste des adresses privées d'un compartiment

OBJECTSTORAGE_ PRIVATE_ENDPOINT_INSPECT

Obtenir les détails d'une adresse privée

OBJECTSTORAGE_ PRIVATE_ENDPOINT_READ

Modifier une adresse privée

OBJECTSTORAGE_ PRIVATE_ENDPOINT_UPDATE

VNIC_UPDATE (compartiment d'adresse privée)

NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (compartiment d'adresse privée)

VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (compartiment d'adresse privée)

VNIC_DISASSOCIATE_NETWORK_SECURITY_GROUP (compartiment d'adresse privée)

Suppression d'une adresse privée d'un compartiment

OBJECTSTORAGE_ PRIVATE_ENDPOINT_DELETE

VNIC_DELETE (compartiment d'adresse privée)

SUBNET_DETACH (compartiment du sous-réseau)

Cibles d'accès

Utilisez la stratégie d'accès suivante pour restreindre un bucket spécifique à une source réseau spécifique :

allow group groupName to manage objects in tenancy where all {target.bucket.name = 'bucketName', request.networkSource.name = 'networkSourceName'}

Limites

Les limites suivantes s'appliquent aux adresses privées dans Object Storage :

  • Vous pouvez utiliser un maximum de 10 adresses privées dans une location.
  • Vous pouvez utiliser jusqu'à 10 cibles d'accès pour chaque adresse privée.
  • Chaque adresse privée dispose d'une bande passante maximale de 25 Gbits/s.

Comportement des demandes préauthentifiées

Lors de la création de demandes pré-authentifiées via des adresses privées, tenez compte des points suivants :

  • Le nom de domaine qualifié complet de l'adresse privée fait partie de l'URL de demande pré-authentifiée.
  • Vous pouvez créer une demande pré-authentifiée via l'adresse privée sur les buckets autorisés PAR des cibles d'accès uniquement.
  • Vous pouvez accéder aux buckets et aux objets PAR à partir de l'adresse publique, en remplaçant le nom de domaine qualifié complet de l'adresse privée dans l'URL PAR l'adresse publique.

Pour plus d'informations, reportez-vous à la rubrique Demandes pré-authentifiées.

Utilisation d'adresses privées

Une fois que vous avez créé une adresse privée Object Storage, elle devient utilisable. Les noms de domaine complets (FQDN) créés à partir de l'entrée de préfixe DNS peuvent être résolus par la zone DNS privée au sein du VCN. Ces noms de domaine qualifiés complets deviennent l'adresse utilisée dans les demandes adressées à Object Storage pour garantir que les demandes transitent par l'adresse privée.

Voici un exemple d'affichage des noms de domaine qualifiés complets dans les détails d'une adresse privée basés sur la CLI :

oci os private-endpoint get --pe-name pe1
                 
{
  "data": {
    "access-targets": [
      {
        "bucket": "*",
        "compartment-id": "*",
        "namespace": "MyNamespace"
      }
    ],
    "additional-prefixes": [],
    "compartment-id": "ocid1.tenancy.oc1..exampleuniqueID",
    "created-by": "ocid1.user.region1..exampleuniqueID",
    "defined-tags": {},
    "etag": "017e1d8f-1013-477a-86a4-d4d03b473f74",
    "fqdns": {
      "additional-prefixes-fqdns": {},
      "prefix-fqdns": {
        "object-storage-api-fqdn": "pe1-MyNamespace.private.objectstorage.us-phoenix-1.oci.customer-oci.com",
        "s3-compatibility-api-fqdn": "pe1-MyNamespace.private.compat.objectstorage.us-phoenix-1.oci.customer-oci.com",
        "swift-api-fqdn": "pe1-MyNamespace.private.swiftobjectstorage.us-phoenix-1.oci.customer-oci.com"
      }
    },
    "freeform-tags": {},
    "id": "ocid1.privateendpoint.region1.sea.exampleuniqueID",
    "lifecycle-state": "ACTIVE",
    "name": "pe1",
    "namespace": "MyNamespace",
    "nsg-ids": [],
    "prefix": "pe1",
    "private-endpoint-ip": "10.0.0.2",
    "subnet-id": "ocid1.subnet.region1.sea.exampleuniqueID",
    "time-created": "2024-06-20T06:33:56.866000+00:00",
    "time-modified": "2024-06-20T06:36:01.820000+00:00"
  },
  "etag": "017e1d8f-1013-477a-86a4-d4d03b473f74"
}

Voici un exemple d'obtention des détails d'un objet à l'aide de l'un des noms de domaine qualifiés complets que vous avez créés à l'aide de l'interface de ligne de commande :

oci os object get --namespace 'MyNamespace' --bucket-name 'MyBucket' --name MyObjectName --endpoint https://pe1-MyNamespace.private.objectstorage.us-phoenix-1.oci.customer-oci.com

Meilleures pratiques

Pour garantir une connectivité privée et sécurisée à Object Storage, nous recommandons les meilleures pratiques suivantes lors de l'utilisation d'adresses privées :

  • Vous devez autoriser l'entrée pour le port 443 à l'aide de l'une des méthodes suivantes :
    • Ajout d'une règle de liste de sécurité dans la liste de sécurité par défaut. Cette règle de sécurité est appliquée à toutes les cartes d'interface réseau virtuelles du sous-réseau. Pour plus d'informations, reportez-vous à Listes de sécurité.
    • Création d'un groupe de sécurité réseau avec la règle de liste de sécurité entrante, puis inclusion du groupe de sécurité réseau dans la création de l'adresse privée. Ce groupe de sécurité réseau est uniquement appliqué à l'adresse privée. Pour plus d'informations, reportez-vous à Groupes de sécurité réseau. Nous vous recommandons d'utiliser cette méthode car elle offre un plus grand niveau de sécurité.
  • Pour éviter l'exfiltration des données dans les locations, commencez par une cible d'accès configurée, telle que l'espace de noms = your_namespace, le compartiment = *, le bucket = *. Cette configuration permet à l'adresse privée d'accéder à tous les buckets de tous les compartiments de votre espace de noms.
  • Pour restreindre davantage l'accès aux buckets auxquels l'adresse privée peut accéder, commencez par une cible d'accès configurée, telle que l'espace de noms = <your_namespace>, le compartiment = Compartment1, le bucket = Bucket1. Vous pouvez indiquer jusqu'à 10 buckets à l'aide de cibles d'accès.
  • Utilisez des stratégies IAM sur le bucket, de sorte que les demandes ne sont autorisées que si elles proviennent d'un VCN spécifique ou d'un bloc CIDR dans ce VCN. Tous les autres accès, y compris via Internet, sont bloqués sur ces buckets. Pour plus d'informations, reportez-vous à Gestion des sources réseau.

    Voici un exemple de stratégie permettant de limiter un bucket spécifique à une source réseau spécifique :

    allow group groupName to manage objects in tenancy where all {target.bucket.name = 'bucketName', request.networkSource.name = 'networkSourceName'}
  • Une ou plusieurs zones DNS privées sont créées dans le VCN lors de la création d'une adresse privée. Cette zone DNS privée permet de résoudre le nom de domaine qualifié complet de l'adresse privée en adresse IP privée de l'adresse privée. Lors de l'utilisation d'adresses privées, nous vous recommandons de ne pas modifier les entrées DNS dans la zone DNS privée du VCN. La modification de ces paramètres peut avoir une incidence sur le comportement du trafic et des demandes passant par l'adresse privée.
  • Pour supprimer un sous-réseau ou un VCN qui contient une adresse privée, nous vous recommandons de supprimer l'adresse privée avant de supprimer le sous-réseau ou le VCN.