Gestione delle Origini di Rete

Questo argomento descrive le nozioni di base sull'utilizzo delle origini di rete.

Criterio IAM necessario

Se si fa parte del gruppo Administrators, si dispone dell'accesso necessario per la gestione delle origini di rete. Per scrivere criteri specifici per le origini di rete, utilizzare il tipo di risorsa delle origini di rete, trovato con gli altri componenti IAM, in Dettagli per IAM senza domini di Identity.

Se non si conoscono i criteri, vedere Guida introduttiva ai criteri e Criteri comuni.

Applicazione di tag alle risorse

Applica tag alle risorse per organizzarle in base alle tue esigenze aziendali. È possibile applicare tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere tag. Per informazioni generali sull'applicazione dei tag, vedere Tag risorsa.

Introduzione alle origini di rete

Un'origine di rete è un set di indirizzi IP definiti. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP provenienti dalle reti VCN all'interno della tenancy. Dopo aver creato l'origine di rete, è possibile farvi riferimento nei criteri o nelle impostazioni di autenticazione della tenancy per controllare l'accesso in base all'indirizzo IP di origine.

Le origini di rete possono essere create solo nella tenancy (o nel compartimento radice) e, come altre risorse IAM, risiedono nella area di origine. Per informazioni sul numero di origini di rete che è possibile avere, vedere IAM senza limiti dei domini di Identity.

È possibile utilizzare le origini di rete per proteggere la tenancy nei modi riportati di seguito.

Specificare l'origine di rete nel criterio IAM per limitare l'accesso alle risorse.
Quando specificato in un criterio, IAM convalida che le richieste di accesso a una risorsa hanno origine da un indirizzo IP consentito.
Ad esempio, puoi limitare l'accesso ai bucket di storage degli oggetti nella tua tenancy solo agli utenti che hanno eseguito l'accesso a Oracle Cloud Infrastructure tramite la tua rete aziendale. In alternativa, puoi consentire solo alle risorse appartenenti a subnet specifiche di una VCN specifica di effettuare richieste tramite un gateway di servizi.
Specificare l'origine di rete nelle impostazioni di autenticazione della tenancy per limitare l'accesso alla console.
È possibile impostare il criterio di autenticazione della tenancy per consentire l'accesso alla console solo dagli indirizzi IP specificati nell'origine di rete. Gli utenti che tentano di accedere da un indirizzo IP non presente nell'elenco consentito nell'origine di rete non avranno accesso. Per informazioni sull'uso di una limitazione di origine di rete nei criteri di autenticazione, vedere Gestione delle impostazioni di autenticazione.

Consentire l'accesso alle risorse solo dagli indirizzi IP specificati

Per limitare l'accesso alle richieste effettuate da un set di indirizzi IP, effettuare le operazioni riportate di seguito.

Creare un'origine di rete che specifichi gli indirizzi IP consentiti.
Scrivere un criterio che utilizza la variabile di origine di rete in una condizione.

1. Crea origine di rete

Seguire le istruzioni fornite per la Console o l'API per creare l'origine di rete.

Una singola origine di rete può includere indirizzi IP di una VCN specifica, indirizzi IP pubblici o entrambi.

Per specificare la VCN, è necessario l'OCID VCN e gli intervalli IP della subnet che si desidera consentire.

Esempi:

Indirizzi IP pubblici o blocchi CIDR: 192.0.2.143 o 192.0.2.0/24
OCID VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
- Indirizzi IP o blocchi CIDR della subnet: 10.0.0.4, 10.0.0.0/16
  Per consentire qualsiasi indirizzo IP da una VCN specifica, utilizzare 0.0.0.0/0.

2. Scrivi la policy

Il servizio IAM include una variabile da utilizzare nel criterio che consente di definire l'ambito del criterio utilizzando una condizione. La variabile è:

request.networkSource.name

Dopo aver creato l'origine di rete, è possibile definire l'ambito dei criteri utilizzando questa variabile in una condizione. Ad esempio, si supponga di creare un'origine di rete denominata "corpnet". Puoi limitare gli utenti del gruppo "CorporateUsers" ad accedere alle tue risorse di storage degli oggetti solo quando le loro richieste provengono da indirizzi IP specificati in corpnet. A tale scopo, scrivere un criterio simile al seguente:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Questo criterio consente agli utenti del gruppo CorporateUsers di gestire le risorse di storage degli oggetti solo quando le richieste provengono da un indirizzo IP consentito specificato nell'origine di rete "corpnet". Le richieste effettuate al di fuori degli intervalli IP specificati vengono negate. Per informazioni generali sulla scrittura dei criteri, vedere Funzionamento dei criteri.

Utilizzo della console per gestire le origini di rete

Per creare un'origine di rete

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Origini di rete. Viene visualizzata una lista delle origini di rete nella tenancy.
Selezionare Crea origine rete.
Inserire quanto segue:
- Nome: un nome univoco per l'origine di rete. Il nome deve essere univoco nella tenancy. Non è possibile modificare questa impostazione in seguito. Evitare di fornire informazioni riservate.
- Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in un secondo momento.
- Tipo rete: selezionare una delle opzioni seguenti:
  - Rete pubblica: immettere un indirizzo IP o un intervallo di blocchi CIDR specifico. Ad esempio: 192.0.2.143.
    Selezionare Altro indirizzo IP/Blocco CIDR per aggiungere un altro indirizzo o un altro intervallo consentito.
  - Rete cloud virtuale: immettere quanto segue per questa opzione:
    - OCID VCN: immettere l'OCID dalla VCN che si desidera consentire.
      Ad esempio: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
    - Indirizzo IP/Blocco CIDR: immettere un indirizzo IP dalla VCN o da un blocco CIDR della subnet. ad esempio: 10.0.0.0/16 o 10.0.0.4;
      Se si desidera consentire tutte le subnet dalla VCN specificata, immettere 0.0.0.0/0.
      Selezionare Altro indirizzo IP/Blocco CIDR per aggiungere un altro indirizzo o intervallo consentito dalla stessa VCN.
Per aggiungere altri intervalli IP a questa origine di rete, selezionare Aggiungi origine.
Mostra opzioni avanzate: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
Selezionare Crea.

Per aggiornare un'origine di rete

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Origini di rete. Viene visualizzata una lista delle origini di rete nella tenancy.
Individuare l'origine di rete nell'elenco e selezionarne il nome per visualizzarne i dettagli.
Modificare l'origine di rete:
- Per aggiungere altri indirizzi IP consentiti a questa origine di rete, selezionare Aggiungi origini. Nella finestra di dialogo Aggiungi origini, selezionare di nuovo Aggiungi origine e immettere i dettagli per ogni indirizzo IP o blocco CIDR che si desidera aggiungere a questa origine di rete.
- Per rimuovere un'origine consentita, selezionare il menu Azioni (tre punti) e selezionare Elimina.

Per eliminare un'origine di rete

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Viene visualizzata la lista delle origini di rete nella tenancy.
Individuare l'origine di rete nell'elenco e selezionare il menu Azioni (tre punti) per l'elemento.
Selezionare Elimina.
Confermare quando richiesto.

Per applicare tag a un'origine di rete

Per istruzioni, vedere Tag risorsa.

Utilizzo dell'API

Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

Utilizza le seguenti operazioni API per gestire le origini di rete:

Creazione dell'oggetto di origine di rete

Un oggetto di origine di rete di esempio è simile all'esempio seguente:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Gli elementi sono:

virtualSourceList: specifica gli intervalli IP della VCN (OCID) e della subnet all'interno di tale VCN a cui è consentito l'accesso. Il file virtualSourceList deve contenere sia l'OCID VCN che gli intervalli IP della subnet:
- vcnID: l'OCID della VCN
- IpRanges: lista separata da virgole degli indirizzi IP o dei blocchi CIDR delle subnet appartenenti alla VCN specificata a cui è consentito accedere alla risorsa. Per consentire tutti gli intervalli nella VCN specificata, immettere 0.0.0.0/0.
publicSourceList: lista separata da virgole degli intervalli IP pubblici a cui è consentito l'accesso.

Esempio:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}

Documentazione dell'infrastruttura Oracle Cloud