Consentire l'accesso alle risorse solo dagli indirizzi IP specificati

1. Crea origine di rete

Seguire le istruzioni fornite per la Console o l'API per creare l'origine di rete.

Una singola origine di rete può includere indirizzi IP di una VCN specifica, indirizzi IP pubblici o entrambi.

Per specificare la VCN, è necessario l'OCID VCN e gli intervalli IP della subnet che si desidera consentire.

Esempi:

• Indirizzi IP pubblici o blocchi CIDR: 192.0.2.143 o 192.0.2.0/24
• OCID VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

  • Indirizzi IP o blocchi CIDR della subnet: 10.0.0.4, 10.0.0.0/16

    Per consentire qualsiasi indirizzo IP da una VCN specifica, utilizzare 0.0.0.0/0.

2. Scrivi la policy

Il servizio IAM include una variabile da utilizzare nel criterio che consente di definire l'ambito del criterio utilizzando una condizione. La variabile è:

request.networkSource.name

Dopo aver creato l'origine di rete, è possibile definire l'ambito dei criteri utilizzando questa variabile in una condizione. Ad esempio, si supponga di creare un'origine di rete denominata "corpnet". Puoi limitare gli utenti del gruppo "CorporateUsers" ad accedere alle tue risorse di storage degli oggetti solo quando le loro richieste provengono da indirizzi IP specificati in corpnet. A tale scopo, scrivere un criterio simile al seguente:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Questo criterio consente agli utenti del gruppo CorporateUsers di gestire le risorse di storage degli oggetti solo quando le richieste provengono da un indirizzo IP consentito specificato nell'origine di rete "corpnet". Le richieste effettuate al di fuori degli intervalli IP specificati vengono negate. Per informazioni generali sulla scrittura dei criteri, vedere Funzionamento dei criteri.