Contrôle d'accès à l'aide d'une adresse IP

OCI offre une option permettant d'ajouter une couche supplémentaire de sécurité aux ressources cloud en limitant l'accès à l'aide de contrôles d'accès basés sur le réseau. Vous pouvez indiquer un ensemble limité d'adresses IP ou de blocs CIDR (Classless Inter-Domain Routing) qui ont l'autorisation d'interagir avec les ressources.

Une source réseau est un ensemble d'adresses IP définies. Il peut s'agir de l'adresse IP publique de réseaux cloud virtuels dans votre location. Lorsqu'une source réseau est fournie dans une stratégie IAM, IAM vérifie les demandes d'accès à une ressource provenant d'une adresse IP autorisée. Suivez les étapes ci-après pour créer des stratégies IAM qui limitent l'accès aux référentiels de code DevOps en fonction des adresses IP indiquées :

1. Dans la console Oracle Cloud, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Sources réseau, cliquez sur Créer une source réseau.
2. Entrez un nom et une description.
3. Dans la section Réseaux, sélectionnez le type de réseau que vous utilisez et les adresses IP respectives.
   • Pour fournir un accès aux adresses IP publiques ou aux plages de blocs CIDR, sélectionnez Réseau public et fournissez les détails correspondants.
   • Pour fournir l'accès aux adresses IP privées dans le réseau cloud virtuel, sélectionnez Réseau cloud virtuel et sélectionnez le réseau cloud virtuel à autoriser. Entrez l'adresse IP privée à partir du réseau cloud virtuel ou d'un bloc CIDR de sous-réseau. Pour autoriser tous les sous-réseaux du réseau cloud virtuel indiqué, entrez 0.0.0.0/0.
4. Pour ajouter d'autres plages d'adresses IP à cette source réseau, cliquez sur Ajouter un réseau.
5. Cliquez sur Créer.

Après avoir créé le réseau avec les adresses IP requises, vous pouvez créer des stratégies IAM pour autoriser uniquement les adresses IP répertoriées à accéder aux référentiels de code DevOps. Pour définir la portée de votre stratégie à l'aide d'une condition, vous pouvez utiliser une variable de service IAM. Par exemple, request.networkSource.name.

Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

Vous pouvez modifier les verbes utilisés dans la stratégie. Par exemple, remplacer "manage" par "inspect" permet d'autoriser uniquement la liste des ressources. Pour plus d'informations, reportez-vous à Stratégies IAM DevOps.

Lors de l'accès aux référentiels ou de l'exécution d'opérations Git sur un référentiel à partir d'une adresse IP non autorisée, une erreur peut survenir.