Configuration de l'accès réseau avec des règles de contrôle d'accès (ACL)

Le fait d'indiquer une liste de contrôle d'accès permet d'empêcher toutes les adresses IP qui n'y figurent pas d'accéder à la base de données. Une fois que vous avez indiqué une liste de contrôle d'accès, la base de données autonome accepte uniquement les connexions provenant des adresses y figurant et rejette toutes les autres connexions client.

Configuration de listes de contrôle d'accès lors du provisionnement ou du clonage d'une instance

Lorsque vous provisionnez ou clonez Autonomous Database avec l'option Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement, vous pouvez restreindre l'accès réseau en définissant des listes de contrôle d'accès (ACL).

Pour plus d'informations sur le provisionnement de votre instance Autonomous Database, reportez-vous à Provisionnement d'une instance Autonomous Database.

Configurez les listes de contrôle d'accès comme suit :

  1. Dans la zone Choisir l'accès réseau, sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    Si l'option Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement est sélectionnée, la console affiche les champs et les options permettant de spécifier les listes de contrôle d'accès :

    Description de l'image adb_network_access_acl_provision.png ci-après
    Description de l'illustration adb_network_access_acl_provision.png
  2. Dans la zone Choisir l'accès réseau, sélectionnez un type de notation d'adresse IP et saisissez des valeurs appropriées pour le type sélectionné afin de spécifier des règles de contrôle d'accès réseau.
    • Adresse IP :

      Dans le champ Values, entrez les valeurs de l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée de liste de contrôle d'accès.
    • bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR. Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • réseau cloud virtuel :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle Oracle Cloud Infrastructure Service Gateway :

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID) :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
  4. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ adresses IP ou blocs CIDR pour enlever une entrée.
  5. Exigez l'authentification TLS mutuelle (mTLS).

    Après avoir entré un type de notation d'adresse IP et une valeur, vous pouvez sélectionner cette option. Les options sont :

    • Lorsque l'option Exiger l'authentification TLS mutuelle est sélectionnée, seules les connexions TLS mutuelles sont autorisées (l'authentification TLS est interdite).

    • Lorsque l'option Exiger l'authentification TLS mutuelle est désélectionnée, les connexions TLS et TLS mutuelles sont autorisées. Il s'agit de la configuration par défaut.

    Pour plus d'informations, reportez-vous à Mise à jour des options de réseau pour autoriser l'authentification TLS ou exiger uniquement l'authentification TLS mutuelle (mTLS) sur Autonomous Database.

  6. Effectuez les étapes de provisionnement ou de clonage restantes, comme indiqué dans Provisionnement d'une instance Autonomous Database, Clonage d'une instance Autonomous Database ou Clonage d'une instance Autonomous Database à partir d'une sauvegarde.

Une fois le provisionnement terminé, vous pouvez mettre à jour les listes de contrôle d'accès d'adresse publique ou modifier la configuration de base de données autonome pour utiliser une adresse privée.

Pour plus d'informations sur la mise à jour des listes de contrôle d'accès, reportez-vous à Configuration de listes de contrôle d'accès pour une instance Autonomous Database existante.

Pour plus d'informations sur le passage à une adresse privée, reportez-vous à Passage d'adresses publiques à des adresses privées avec Autonomous Database.

Configuration de listes de contrôle d'accès pour une instance Autonomous Database existante

Vous pouvez indiquer des listes de contrôle d'accès de réseau pour contrôler et restreindre l'accès à la base de données autonome. Sur une instance Autonomous Database existante avec une adresse publique, vous pouvez ajouter, modifier ou enlever des listes de contrôle d'accès.

Configurez des listes de contrôle d'accès, ou ajoutez, enlevez ou mettez à jour les listes de contrôle d'accès existantes d'une instance Autonomous Database en procédant comme suit :

  1. Sur la page Détails, dans la zone Réseau, en regard du champ de liste de contrôle d'accès, cliquez sur Modifier.

    Affiche le panneau Mettre à jour l'accès réseau.

    Description de l'image adb_network_access_update.png ci-après
    Description de l'illustration adb_network_access_update.png

    Vous pouvez également cliquer sur Actions supplémentaires et sélectionner Mettre à jour l'accès réseau. Dans le panneau, sous Type d'accès, sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

  2. Spécifiez les règles de contrôle d'accès en sélectionnant un type de notation d'adresse IP et des valeurs :

    Sélectionnez l'une des options suivantes :

    • Adresse IP :

      Dans le champ Values, entrez les valeurs de l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée de liste de contrôle d'accès.
    • bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR. Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • réseau cloud virtuel :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle Oracle Cloud Infrastructure Service Gateway :

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID) :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Cliquez sur Ajouter un contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
  4. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ adresses IP ou blocs CIDR pour enlever une entrée.
  5. Cliquez sur Mettre à jour.

Si l'état du cycle de vie est Disponible lorsque vous cliquez sur Mettre à jour, il devient Mise à jour jusqu'à ce qu'il soit défini. La base de données continue de fonctionner et reste accessible. Il n'y a aucun temps d'inactivité. Une fois la mise à jour terminée, l'état du cycle de vie redevient Disponible et les listes de contrôle d'accès réseau sont en vigueur.

Passage d'adresses privées à des adresses publiques avec Autonomous Database

Si l'instance Autonomous Database est configurée pour utiliser une adresse privée, vous pouvez modifier la configuration afin d'utiliser une adresse publique.

Il existe plusieurs prérequis relatifs au passage d'une instance d'une adresse privée à une adresse publique :

Afin d'indiquer une adresse publique pour la base de données autonome, procédez comme suit :

  1. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Mettre à jour l'accès réseau.
  2. Dans la boîte de dialogue Mettre à jour l'accès réseau, sélectionnez Accès sécurisé à partir de n'importe où ou Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    Par exemple, si vous sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement, la boîte de dialogue affiche les champs permettant de configurer les règles de contrôle d'accès :

    Description de l'image adb_network_access_update.png ci-après
    Description de l'illustration adb_network_access_update.png
  3. Dans la boîte de dialogue, sous Configurer des règles de contrôle d'accès, sélectionnez un type de notation d'adresse IP et des valeurs pour spécifier des règles :
    • Adresse IP :

      Dans le champ Values, entrez les valeurs de l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée de liste de contrôle d'accès.
    • bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR. Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • réseau cloud virtuel :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID) :

      Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  4. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste de contrôle d'accès.
  5. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ adresses IP ou blocs CIDR pour enlever une entrée.
  6. Cliquez sur Mettre à jour.
  7. Dans la boîte de dialogue Confirmer, saisissez le nom de l'instance Autonomous Database pour confirmer la modification.
  8. Dans la boîte de dialogue Confirmer, cliquez sur Mettre à jour.

L'état de cycle de vie passe à Mise à jour jusqu'à la fin de l'opération.

Remarques relatives au passage de l'adresse privée à l'adresse publique pour l'accès réseau :

  • Une fois le type d'accès réseau mis à jour, tous les utilisateurs de la base de données doivent obtenir un nouveau portefeuille et l'utiliser pour y accéder. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

  • Une fois la mise à jour terminée, vous pouvez modifier les listes de contrôle d'accès de règles de contrôle d'accès pour l'adresse publique ou en définir de nouvelles. Pour plus d'informations, reportez-vous à Configuration de listes de contrôle d'accès pour une instance Autonomous Database existante.

  • L'URL de Database Actions et des outils de base de données est différente selon que la base de données utilise une adresse privée ou publique. Cliquez sur Database Actions dans la console Oracle Cloud Infrastructure pour rechercher l'URL de Database Actions mise à jour. Dans Database Actions, cliquez sur les cartes appropriées pour rechercher les URL de Database Tools mises à jour, après le passage d'une adresse privée à une adresse publique.

Restrictions et remarques relatives aux listes de contrôle d'accès

Décrit les restrictions et les remarques relatives aux règles de contrôle d'accès sur Autonomous Database.

  • Pour plus d'informations sur les plages d'adresses IP publiques dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance Autonomous Database sur une adresse publique.

  • Pour autoriser uniquement les connexions via une passerelle de service, vous devez utiliser l'adresse IP de cette dernière dans la définition de liste de contrôle d'accès. Pour ce faire, vous devez ajouter une définition de liste de contrôle d'accès dans laquelle le type de source CIDR est défini sur la valeur 240.0.0.0/4. Cette opération n'est pas recommandée. Indiquez plutôt dans la définition de liste de contrôle d'accès les différents réseaux cloud virtuels à partir desquels autoriser l'accès.

    Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

  • Lorsque vous restaurez une base de données, les listes de contrôle d'accès existantes ne sont pas écrasées.

  • Les listes de contrôle d'accès réseau s'appliquent aux connexions à la base de données et aux blocs-notes Oracle Machine Learning. Si une liste de contrôle d'accès est définie et que vous essayez de vous connecter aux blocs-notes Oracle Machine Learning à partir d'un client dont l'adresse IP n'est pas indiquée dans la liste de contrôle d'accès, une erreur indiquant que la connexion a été rejetée d'après une liste de contrôle d'accès définie par l'administrateur apparaît.

  • Les outils Autonomous Database suivants sont soumis à des listes de contrôle d'accès. Vous pouvez utiliser des listes de contrôle d'accès de réseau cloud virtuel, de réseau cloud virtuel (OCID), d'adresse IP ou de bloc CIDR pour contrôler l'accès aux outils suivants :

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Blocs-notes Oracle Machine Learning
    • Oracle REST Data Services
  • Si le réseau cloud virtuel comporte un sous-réseau privé configuré pour accéder au réseau Internet public via une passerelle NAT, vous devez entrer l'adresse IP publique de cette dernière dans la définition de liste de contrôle d'accès. Les clients dans le sous-réseau privé ne disposent pas d'adresses IP publiques. Pour plus d'informations, reportez-vous à Passerelle NAT.

  • Si vous utilisez des listes de contrôle d'accès et que les connexions TLS sont autorisées, vous devez modifier la configuration réseau de sorte à interdire ces dernières avant d'enlever les listes de contrôle d'accès. Pour plus d'informations, reportez-vous à Mise à jour de l'instance Autonomous Database pour exiger l'authentification TLS mutuelle et interdire l'authentification TLS.

  • Afin de visualiser les informations réseau de votre instance, reportez-vous à Affichage des informations réseau sur la console OCI.