Documentation Oracle Cloud Infrastructure

Configuration de l'accès réseau avec des règles de contrôle d'accès (ACL)

Le fait d'indiquer une liste de contrôle d'accès permet d'empêcher toutes les adresses IP qui n'y figurent pas d'accéder à la base de données. Une fois que vous avez indiqué une liste de contrôle d'accès, la base de données Autonomous AI accepte uniquement les connexions à partir des adresses de la liste de contrôle d'accès et la base de données rejette toutes les autres connexions client.

Rubrique parent : Configuration de l'accès réseau avec des règles de contrôle d' accès (ACL) et des adresses personnelles

Configuration de listes de contrôle d'accès lors du provisionnement ou du clonage d'une instance

Lorsque vous provisionnez ou clonez une base de données Autonomous AI avec l'option Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement, vous pouvez restreindre l'accès réseau en définissant des listes de contrôle d'accès (ACL).

Pour plus d'informations sur le provisionnement de votre base de données Autonomous AI, reportez-vous à Provisionnement d'une instance de base de données Autonomous AI.

Configurez les listes de contrôle d'accès comme suit :

  1. Dans la zone Choisir l'accès réseau, sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    Si l'option Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement est sélectionnée, la console affiche les champs et les options permettant de spécifier les listes de contrôle d'accès :

    Description de l'image adb_network_access_acl_provision.png ci-après
    Description de l'illustration adb_network_access_acl_provision.png
  2. Dans la zone Choisir l'accès réseau, sélectionnez un type de notation d'adresseIP et saisissez des valeurs correspondant au type sélectionné afin d'indiquer les règles d'accès :
    • Adresse IP :

      Dans le champ Valeurs, entrez les valeurs de l'adresse IP, Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Vous pouvez éventuellement sélectionner Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.
    • Bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR, Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • Réseau cloud virtuel:

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle de service Oracle Cloud Infrastructure Service Gateway :

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID):

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste.
  4. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ Adresses IIP ou Blocs CIDR pour enlever une entrée.
  5. Exigez l'authentification TLS mutuelle (mTLS).

    Après avoir entré un type de notation d'adresse IP et une valeur, vous pouvez sélectionner cette option. Les options disponibles sont les suivantes :

    • Lorsque l'option Exiger l'authentification TLS mutuelle est sélectionnée, seules les connexions TLS mutuelles sont autorisées (l'authentification TLS est interdite).

    • Lorsque l'option Exiger l'authentification TLS mutuelle est désélectionnée, les connexions TLS et TLS mutuelle sont autorisées. Il s'agit de la configuration par défaut.

    Pour plus d'informations, reportez-vous à la section Mise à jour des options réseau pour autoriser l'authentification TLS ou exiger uniquement l'authentification TLS mutuelle (mTLS) sur la base de données Autonomous AI.

  6. Effectuez les étapes de provisionnement ou de clonage restantes, comme indiqué dans Provisionnement d'une instance de base de données Autonomous AI, Clonage d'une instance de base de données Autonomous AI ou Clonage d'une base de données Autonomous AI à partir d'une sauvegarde.

Une fois le provisionnement terminé, vous pouvez mettre à jour les listes de contrôle d'accès d'adresse publique ou modifier la configuration de la base de données Autonomous AI pour utiliser une adresse privée.

Pour plus d'information sur la mise à niveau des listes de contrôle d'accès pour une instance de base de données Autonomous AI existante, reportez-vous à la section Configuration des listes de contrôle d'accès pour une instance Autonomous AI existante.

Pour obtenir des informations sur le passage d'une adresse privée à une adresse publique, reportez-vous à la section Change from Public to Private Endpoints with Autonomous AI Database.

Configuration de listes de contrôle d'accès pour une instance de base de données Autonomous AI existante

Vous pouvez contrôler et restreindre l'accès à votre base de données Autonomous AI en indiquant des listes de contrôle d'accès réseau (ACL). Sur une instance de base de données Autonomous AI existante avec une adresse publique, vous pouvez ajouter, modifier ou enlever des ACL.

Configurez des ACL, ou ajoutez, enlevez ou mettez à jour les ACL existantes d'une instance de base de données Autonomous AI en procédant comme suit :

  1. Sur la page Détails, dans la zone Réseau, en regard du champ de liste de contrôle d'accès, cliquez sur Modifier.

    Le volet Mettre à jour l'accès réseau s'affiche.

    Description de l'image adb_network_access_update.png ci-après
    Description de l'illustration adb_network_access_update.png

    Vous pouvez également cliquer sur Actions supplémentaires et sélectionner Mettre à jour l'accès réseau, puis, dans le panneau, sous Type d'accès, sélectionner Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

  2. Indiquez les règles de contrôle d'accès en sélectionnant un type de notation IP et des valeurs :

    Sélectionnez l'une des options suivantes :

    • Adresse IP :

      Dans le champ Valeurs, entrez les valeurs de l'adresse IP, Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Vous pouvez éventuellement sélectionner Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.
    • Bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR, Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • Réseau cloud virtuel:

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle de service Oracle Cloud Infrastructure Service Gateway :

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID):

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Cliquez sur Ajouter un contrôle d'accès pour ajouter une nouvelle valeur à la liste des contrôles d'accès.
  4. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ Adresses IIP ou Blocs CIDR pour enlever une entrée.
  5. Cliquez sur Mettre à jour.

Si l'état du cycle de vie est Disponible lorsque vous cliquez sur Mettre à jours, l'état du cycle de vie devient Mise à jours jusqu'à ce que la liste de contrôles d'accès soit définie. La base de données continue de fonctionner et reste accessible. Il n'y a aucun temps d'inactivité. Lorsque la mise à jour est terminée, l'état du cycle de vie redevient Disponible et les listes de contrôle d'accès réseau de la liste sont en vigueur.

Passage des adresses privées aux adresses publiques avec la base de données Autonomous AI

Si l'instance de base de données Autonomous AI est configurée pour utiliser une adresse privée, vous pouvez modifier la configuration afin d'utiliser un point de terminaison public.

Il existe plusieurs prérequis relatifs au passage d'une instance d'une adresse privée à une adresse publique :

Afin d'indiquer une adresse publique pour votre base de données Autonomous AI, procédez comme suit :

  1. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Mise à jour de l'accès réseau.
  2. Dans la boîte de dialogueMettre à jour l'accès réseau, sélectionnez l'une des options Accès sécurisé à partir de n'importe quel emplacement ou Accès sécurisé à partir des Adresses IP et des réseaux Cloud virtuels autorisés uniquement.

    Par exemple, si vous sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement, la boîte de dialogue affiche les champs permettant de configurer les règles de contrôle d'accès :

    Description de l'image adb_network_access_update.png ci-après
    Description de l'illustration adb_network_access_update.png
  3. Dans la boîte de dialogue, sous Configurer des règles de contrôle d'accès, sélectionnez un type de notation d'adresse IP et des valeurs pour spécifier des règles :
    • Adresse IP :

      Dans le champ Valeurs, entrez les valeurs de l'adresse IP, Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

      Remarque

      Vous pouvez éventuellement sélectionner Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.
    • Bloc CIDR :

      Dans le champ Valeurs, entrez les valeurs du bloc CIDR, Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

    • Réseau cloud virtuel:

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
    • Réseau cloud virtuel (OCID):

      Utilisez cette option lorsque le routage réseau entre le client et la base de données passe par une passerelle Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

      • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
      • Vous pouvez éventuellement, dans le champ Adresses IP ou CIDR, entrer des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

    Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  4. Cliquez sur Ajouter une règle de contrôle d'accès pour ajouter une nouvelle valeur à la liste.
  5. Cliquez sur x pour enlever une entrée.
    Vous pouvez également effacer la valeur du champ Adresses IIP ou Blocs CIDR pour enlever une entrée.
  6. Cliquez sur Mettre à jour.
  7. Dans la boîte de dialogue Confirmer, saisissez le nom de la base de données Autonomous AI pour confirmer la modification.
  8. Dans la boîte de dialogue Confirmer, cliquez sur Mettre à jour.

L'état de cycle de vie est passé à Mise à jour jusqu'à la clôture de l'opération.

Remarques relatives au passage de l'adresse privée à l'adresse publique pour l'accès réseau :

  • Une fois le type d'accès réseau mis à jour, tous les utilisateurs de la base de données doivent obtenir un nouveau portefeuille et l'utiliser pour y accéder. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

  • Une fois la mise à jour terminée, vous pouvez modifier les listes de contrôle d'accès de règles de contrôle d'accès pour l'adresse publique ou en définir de nouvelles. Pour plus d'informations, reportez-vous à la section Configure Access Control Lists for an Existing Autonomous AI Database Instance.

  • L'URL de Database Actions et des outils de base de données n'est pas identique lorsqu'une base de données utilise une Adresse privée par rapport à une Adresse publique. Cliquez sur Database Actions dans la console Oracle Cloud Infrastructure pour rechercher l'URL Database Actions mise à jour et, dans Database Actions, cliquez sur les cartes appropriées pour rechercher les URL Database Tools mises à jour, après avoir passé d'une adresse privée à une adresse publique.

Restrictions et remarques relatives aux listes de contrôle d'accès

Décrit les restrictions et les remarques relatives aux règles de contrôle d'accès sur la base de données Autonomous AI.

  • Pour plus d'informations sur les plages d'adresses IP publiques dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance de base de données Autonomous AI sur une adresse publique.

  • Pour autoriser uniquement les connexions via une passerelle de service, vous devez utiliser l'adresse IP de cette dernière dans la définition de liste de contrôle d'accès. Pour ce faire, vous devez ajouter une définition de liste de contrôle d'accès dans laquelle le type de source CIDR est défini sur la valeur 240.0.0.0/4. Cette opération n'est pas recommandée. Indiquez plutôt dans la définition de liste de contrôle d'accès les différents réseaux cloud virtuels à partir desquels autoriser l'accès.

    Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

  • Lorsque vous restaurez une base de données, les listes de contrôle d'accès existantes ne sont pas écrasées.

  • Les listes de contrôle d'accès réseau s'appliquent aux connexions à la base de données et aux blocs-notes Oracle Machine Learning. Si une liste de contrôle d'accès est définie et que vous essayez de vous connecter aux blocs-notes Oracle Machine Learning à partir d'un client dont l'adresse IP n'est pas indiquée dans la liste de contrôle d'accès, une erreur indiquant que la connexion a été rejetée d'après une liste de contrôle d'accès définie par l'administrateur apparaît.

  • Les outils Autonomous AI Database suivants sont soumis à des listes de contrôle d'accès. Vous pouvez utiliser des listes de contrôle d'accès de réseau cloud virtuel, de réseau cloud virtuel (OCID), d'adresse IP ou de bloc CIDR pour contrôler l'accès aux outils suivants :

    • Actions de base de données
    • Oracle APEX
    • Oracle Graph Studio
    • Blocs-notes Oracle Machine Learning
    • Oracle REST Data Services

  • Si le réseau cloud virtuel comporte un sous-réseau privé configuré pour accéder au réseau Internet public via une passerelle NAT, vous devez entrer l'adresse IP publique de cette dernière dans la définition de liste de contrôle d'accès. Les clients dans le sous-réseau privé ne disposent pas d'adresses IP publiques. Pour plus d'informations, reportez-vous à Passerelle NAT.

  • Si vous utilisez des listes de contrôle d'accès et que les connexions TLS sont autorisées, vous devez modifier la configuration réseau de sorte à interdire ces dernières avant d'enlever les listes de contrôle d'accès. Pour plus d'informations, reportez-vous à la section Mise à jour de l'instance Autonomous AI Database pour exiger l'authentification TLS mutuellement et interdire l'authentification TLS.

  • Afin d'afficher les informations réseau de votre instance, reportez-vous à Affichage des informations réseau sur la console OCI.