Documentazione di Oracle Cloud Infrastructure

Gestione delle origini di rete

In questo argomento vengono descritte le nozioni di base per l'utilizzo delle origini di rete.

Criteri IAM necessari

Se si fa parte del gruppo Amministratori, si dispone dell'accesso necessario per la gestione delle origini di rete. Per scrivere criteri specifici per le origini di rete, utilizzare il tipo di risorsa delle origini di rete, trovato con gli altri componenti IAM, in Dettagli per IAM senza domini di Identity.

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.

Applicazione di tag alle risorse

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.

Introduzione alle origini della rete

Un'origine di rete è un set di indirizzi IP definiti. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP da VCN all'interno della tenancy. Dopo aver creato l'origine di rete, è possibile fare riferimento a tale origine nei criteri o nelle impostazioni di autenticazione della tenancy per controllare l'accesso in base all'indirizzo IP di origine.

Le origini di rete possono essere create solo nella tenancy (o nel compartimento radice) e, come altre risorse IAM, risiedono nella area di origine. Per informazioni sul numero di origini di rete che è possibile avere, vedere IAM senza limiti dei domini di Identity.

È possibile utilizzare le origini di rete per proteggere la tenancy nei modi riportati di seguito.

  • Specificare l'origine di rete nel criterio IAM per limitare l'accesso alle risorse.

    Quando viene specificato in un criterio, IAM verifica che le richieste di accesso a una risorsa provengano da un indirizzo IP consentito.

    Ad esempio, puoi limitare l'accesso ai bucket di storage degli oggetti nella tua tenancy solo agli utenti che hanno effettuato l'accesso a Oracle Cloud Infrastructure tramite la tua rete aziendale. In alternativa, puoi consentire solo alle risorse appartenenti a subnet specifiche di una VCN specifica di effettuare richieste tramite un gateway di servizi.

  • Specificare l'origine di rete nelle impostazioni di autenticazione della tenancy per limitare l'accesso alla console.

    È possibile impostare il criterio di autenticazione della tenancy per consentire il collegamento alla console solo dagli indirizzi IP specificati nell'origine di rete. Agli utenti che tentano di accedere da un indirizzo IP non presente nell'elenco consentito nell'origine di rete verrà negato l'accesso. Per informazioni sull'uso di una limitazione dell'origine di rete nel criterio di autenticazione, vedere Gestione delle impostazioni di autenticazione.

Consenti accesso alle risorse solo da indirizzi IP specificati

Per limitare l'accesso alle richieste effettuate da un set di indirizzi IP, effettuare le operazioni riportate di seguito.

  1. Creare un'origine di rete che specifichi gli indirizzi IP consentiti.
  2. Scrivere un criterio che utilizza la variabile di origine di rete in una condizione.

1. Creazione dell'origine rete

Seguire le istruzioni fornite per la console o l'API per creare l'origine di rete.

Una singola origine di rete può includere indirizzi IP da una VCN specifica, indirizzi IP pubblici o entrambi.

Per specificare la VCN, sono necessari l'OCID VCN e gli intervalli IP della subnet che si desidera consentire.

Esempi:

  • Indirizzi IP pubblici o blocchi CIDR: 192.0.2.143 o 192.0.2.0/24
  • OCID VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

    • Indirizzi IP o blocchi CIDR della subnet: 10.0.0.4, 10.0.0.0/16

      Per consentire qualsiasi indirizzo IP da una VCN specifica, utilizzare 0.0.0.0/0.

2. Scrivi la polizza

Il servizio IAM include una variabile da utilizzare nei criteri che consente di definire l'ambito del criterio utilizzando una condizione. La variabile è:

request.networkSource.name

Dopo aver creato l'origine di rete, è possibile definire l'ambito dei criteri utilizzando questa variabile in una condizione. Ad esempio, si supponga di creare un'origine di rete denominata "corpnet". Puoi limitare gli utenti del gruppo "CorporateUsers" ad accedere alle tue risorse di storage degli oggetti solo quando le loro richieste provengono da indirizzi IP specificati in corpnet. A tale scopo, scrivere un criterio simile al seguente: 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Questo criterio consente agli utenti del gruppo CorporateUsers di gestire le risorse di storage degli oggetti solo quando le relative richieste provengono da un indirizzo IP consentito specificato nella "corpnet" di origine rete. Le richieste effettuate al di fuori degli intervalli IP specificati vengono negate. Per informazioni generali sulla scrittura dei criteri, vedere funzionamento dei criteri.

Utilizzo della console per gestire le origini di rete

Per creare un'origine di rete
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Origini di rete. Viene visualizzata una lista delle origini di rete nella tenancy.
  2. Selezionare Crea origine rete.
  3. Immettere quanto riportato di seguito.
    • Nome: un nome univoco per l'origine di rete. Il nome deve essere univoco nella tenancy. Non è possibile modificare in seguito. Evitare di fornire informazioni riservate.
    • Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in seguito.
    • Tipo di rete: selezionare una delle seguenti opzioni:

      • Rete pubblica: immettere un indirizzo IP o un intervallo di blocchi CIDR specifico. Esempio: 192.0.2.143.

        Selezionare Another IP Address/CIDR Block per aggiungere un altro indirizzo o intervallo consentito.

      • Rete cloud virtuale: immettere le informazioni riportate di seguito per questa opzione.

        • OCID VCN: immettere l'OCID dalla VCN che si desidera consentire.

          Ad esempio: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • Indirizzo/Blocco CIDR IP: immetti un indirizzo IP dalla VCN o da un blocco CIDR della subnet. Ad esempio: 10.0.0.0/16 o 10.0.0.4.

          Se si desidera consentire tutte le subnet dalla VCN specificata, immettere 0.0.0.0/0.

          Selezionare Altro indirizzo IP/blocco CIDR per aggiungere un altro indirizzo o intervallo consentito dalla stessa VCN.

  4. Per aggiungere altri intervalli IP a questa origine di rete, selezionare Aggiungi origine.
  5. Mostra opzioni avanzate: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
  6. Selezionare Crea.
Per aggiornare un'origine di rete
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Origini di rete. Viene visualizzata una lista delle origini di rete nella tenancy.
  2. Individuare l'origine di rete nell'elenco e selezionarne il nome per visualizzarne i dettagli.
  3. Modificare l'origine rete:
    • Per aggiungere altri indirizzi IP consentiti a questa origine di rete, selezionare Aggiungi origini. Nella finestra di dialogo Aggiungi origini, selezionare di nuovo Aggiungi origine e immettere i dettagli per ogni indirizzo IP o blocco CIDR da aggiungere a questa origine di rete.
    • Per rimuovere un'origine consentita, selezionare il menu Azioni (tre punti) e selezionare Elimina.
Per eliminare un'origine di rete
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Viene visualizzata la lista delle origini di rete nella tenancy.
  2. Individuare l'origine di rete nell'elenco e selezionare il menu Azioni (tre punti) per l'elemento.
  3. Selezionare Elimina.
  4. Confermare quando richiesto.

Uso dell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizzare le operazioni API riportate di seguito per gestire le origini di rete.

Creazione dell'oggetto di origine rete

Un oggetto di origine di rete di esempio è simile all'esempio seguente:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Gli elementi sono riportati di seguito.

  • virtualSourceList: specifica gli intervalli IP della VCN (OCID) e della subnet all'interno della VCN a cui è consentito l'accesso. virtualSourceList deve contenere sia l'OCID VCN che gli intervalli IP della subnet:
    • vcnID: l'OCID della VCN
    • IpRanges: lista separata da virgole degli indirizzi IP o dei blocchi CIDR delle subnet appartenenti alla VCN specificata che sono autorizzati ad accedere alla risorsa. Per consentire tutti gli intervalli nella VCN specificata, immettere 0.0.0.0/0.
  • publicSourceList: lista separata da virgole degli intervalli IP pubblici ai quali è consentito l'accesso.

Ad esempio:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}