Documentation Oracle Cloud Infrastructure

Création d'une liste de sécurité

Sur Compute Cloud@Customer, vous pouvez créer une liste de sécurité pour un VCN.

Avant de créer une liste de sécurité, affichez les règles de sécurité déjà définies dans la liste de sécurité par défaut et toute autre liste de sécurité pour ce VCN. Reportez-vous à Affichage des listes de sécurité.

Une liste de sécurité doit comporter au moins une règle. Une liste de sécurité ne doit pas obligatoirement comporter à la fois des règles entrantes et sortantes.

Evitez de saisir des informations confidentielles dans les noms et les balises.

    1. Dans le menu de navigation Console Compute Cloud@Customer, sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.

    2. En haut de la page, sélectionnez le compartiment contenant le VCN dans lequel vous voulez créer un sous-réseau.

    3. Sélectionnez le nom du VCN pour lequel vous souhaitez créer une liste de sécurité.

      La page de détails du VCN s'affiche.

    4. Sous Ressources, sélectionnez Listes de sécurité.

    5. Sélectionnez Créer une Liste de Sécurité.

    6. Dans la boîte de dialogue Créer une liste de sécurité, saisissez les informations suivantes :

      • Nom : indiquez un nom descriptif pour la liste de sécurité. Le nom ne doit pas nécessairement être unique. Evitez de saisir des informations confidentielles. (Vous ne pouvez pas modifier le nom ultérieurement dans la console, mais vous pouvez le faire à l'aide de la CLI).

      • Créer dans le compartiment : sélectionnez le compartiment dans lequel créer la liste de sécurité.

    7. Ajoutez au moins une règle.

      Pour ajouter des règles entrantes, sélectionnez Règle +New dans la zone Autoriser les règles pour l'entrée. Saisissez les informations suivantes :

      • Sans conservation de statut : si vous voulez que la nouvelle règle soit sans conservation de statut, cochez cette case. Par défaut, les règles de liste de sécurité sont avec conservation de statut et s'appliquent à la fois à une demande et à sa réponse coordonnée.

      • CIDR : bloc CIDR pour le trafic entrant ou sortant.

      • Protocole IP : la règle peut s'appliquer à tous les protocoles IP, ou à des choix tels qu'ICMP, TCP ou UDP. Sélectionnez le protocole dans la liste déroulante.

        • Plage de ports : pour certains protocoles, tels que TCP ou UDP, vous pouvez fournir une plage de ports source et une plage de ports de destination.

        • Type et code de paramètre : pour ICMP, vous pouvez sélectionner un type de paramètre et le code de paramètre correspondant.

      • Description : description facultative de la règle.

    8. Balisage : (facultatif) ajoutez des balises à cette ressource. Les balises peuvent également être appliquées ultérieurement. Pour plus d'informations sur les ressources de balisage, reportez-vous à Balises de ressource.

    9. Sélectionnez Créer une Liste de Sécurité.

      La page de détails de la nouvelle liste de sécurité s'affiche. Vous pouvez spécifier cette liste de sécurité lorsque vous créez ou mettez à jour un sous-réseau.

  • Utilisez la commande oci network security-list create et les paramètres requis afin de créer une liste de sécurité pour le VCN spécifié.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Pour obtenir la liste complète des commandes, des indicateurs et des options d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

    Procédure

    1. Collectez les informations dont vous avez besoin pour exécuter la commande :

      • OCID du compartiment dans lequel créer cette liste de sécurité (oci iam compartment list)

      • OCID du VCN pour cette liste de sécurité (oci network vcn list --compartment-id compartment_OCID)

    2. Construisez des arguments pour les options --ingress-security-rules et --egress-security-rules.

      Les règles de sécurité sont au format JSON. Pour savoir comment formater une règle, utilisez la commande suivante :

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Utilisez la même commande avec egress-security-rules.

      Les règles de sécurité entrantes et sortantes sont identiques, sauf que les règles entrantes ont des propriétés source et sourceType, tandis que les règles sortantes ont des propriétés destination et destinationType.

      La valeur de la propriété protocol est all ou l'un des nombres suivants : 1 pour ICMP, 6 pour TCP ou 17 pour UDP.

      Vous pouvez également list ou get la liste de sécurité par défaut ou une autre liste de sécurité et copier les valeurs des propriétés egress-security-rules et ingress-security-rules.

      Placez les informations relatives aux règles de cette nouvelle liste de sécurité aux emplacements appropriés dans le format ou remplacez les informations dans les règles que vous avez copiées.

      La valeur des deux options de règle est soit une chaîne entre apostrophes, soit un fichier spécifié en tant que file://path_to_file.json.

      Les règles sortantes et entrantes doivent figurer dans une liste. Si la liste des règles sortantes ou la liste des règles entrantes ne comporte qu'un seul élément, cette règle unique doit être placée entre crochets, comme le seraient plusieurs règles. Reportez-vous à la commande de l'étape suivante pour obtenir un exemple montrant une seule règle entrante.

      Vous devez indiquer à la fois des règles sortantes et entrantes. Reportez-vous à la commande de l'étape suivante pour obtenir un exemple d'absence de règle sortante.

    3. Exécutez la commande de création de liste de sécurité.

      Syntaxe :

      Exemple :

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Utilisez l'opération CreateSecurityList pour créer une liste de sécurité pour le VCN spécifié.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.