Documentazione dell'infrastruttura Oracle Cloud

Controllo dell'accesso

In questo argomento vengono fornite informazioni di base sull'uso dei criteri dei compartimenti e dei criteri IAM per controllare l'accesso a una rete cloud.

Compartimenti e una rete cloud

Ogni volta che crei una risorsa cloud, ad esempio una rete cloud virtuale (VCN) o un'istanza di computazione, devi specificare in quale compartimento IAM desideri inserire la risorsa. Un compartimento è una raccolta di risorse correlate alle quali possono accedere solo determinati gruppi a cui un amministratore ha concesso l'autorizzazione. L'amministratore crea compartimenti e criteri IAM corrispondenti per controllare quali utenti possono accedere a quali compartimenti. L'obiettivo è garantire che ogni persona possa accedere solo alle risorse di cui ha bisogno.

Se un'azienda sta iniziando a provare Oracle Cloud Infrastructure, solo poche persone devono creare e gestire la VCN e i suoi componenti, creare istanze nella VCN e collegare volumi di storage a blocchi a tali istanze. Queste poche persone hanno bisogno dell'accesso a tutte queste risorse, in modo che tutte queste risorse possano trovarsi nello stesso compartimento.

In un ambiente di produzione aziendale con una VCN, un'azienda può utilizzare molti compartimenti per controllare più facilmente l'accesso a determinati tipi di risorse. Ad esempio, un amministratore può creare Compartment_A per una VCN e altri componenti di rete. L'amministratore potrebbe quindi creare Compartment_B per tutte le istanze di computazione e i volumi di storage a blocchi utilizzati dall'organizzazione HR e Compartment_C per tutte le istanze e i volumi di storage a blocchi utilizzati dall'organizzazione di marketing. L'amministratore creerà quindi i criteri IAM che forniscono agli utenti solo il livello di accesso di cui hanno bisogno in ciascun compartimento. Ad esempio, l'amministratore dell'istanza HR non è autorizzato a modificare la rete cloud esistente. Quindi avrebbero le autorizzazioni complete per Compartment_B, ma l'accesso limitato a Compartment_A (solo ciò che è necessario per creare istanze nella rete). Se hanno tentato di modificare altre risorse in Compartment_A, la richiesta verrà rifiutata.

Le risorse di rete quali VCN, subnet, tabelle di instradamento, liste di sicurezza, gateway di servizi, gateway NAT, connessioni VPN e connessioni FastConnect possono essere spostate da un compartimento all'altro. Quando si sposta una risorsa in un nuovo compartimento, i criteri intrinseci vengono applicati immediatamente.

Per ulteriori informazioni sui compartimenti e su come controllare l'accesso alle risorse cloud, vedere Ulteriori informazioni sulle best practice per l'impostazione della tenancy e Panoramica di Identity and Access Management.

Criteri IAM per il networking

L'approccio più semplice per concedere l'accesso alla rete è il criterio elencato in Consenti agli amministratori di rete di gestire una rete cloud. Copre la rete cloud e tutti gli altri componenti di networking (subnet, liste di sicurezza, tabelle di instradamento, gateway e così via). Per offrire inoltre agli amministratori di rete la possibilità di creare istanze (per eseguire il test della connettività di rete), vedere Consenti agli utenti di avviare le istanze di computazione.

Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.

Per informazioni sui materiali di riferimento per la scrittura di criteri più dettagliati per il networking, vedere Dettagli per i servizi di base.

Singola risorsa - Tipi

È possibile scrivere criteri che si concentrano sui singoli tipi di risorsa (ad esempio, solo liste di sicurezza) invece del più ampio virtual-network-family. Il tipo di risorsa instance-family include anche diverse autorizzazioni per le VNIC, che risiedono in una subnet ma si collegano a un'istanza. Per ulteriori informazioni, vedere Dettagli per combinazioni Verb + Resource-Type e Schede di interfaccia di rete virtuali (VNIC).

Un tipo di risorsa denominato local-peering-gateways è incluso in virtual-network-family e include altri due tipi di risorsa correlati al peering VCN locale (all'interno dell'area):

  • local-peering-from
  • local-peering-to

Il tipo di risorsa local-peering-gateways copre tutte le autorizzazioni correlate ai gateway di peering locali (LPG). I tipi di risorsa local-peering-from e local-peering-to consentono di concedere l'autorizzazione per connettere due GPL e definire una relazione di peering all'interno di una singola area. Per ulteriori informazioni, vedere Peering locale con un LPG (VCN nella stessa tenancy) o Peering locale con un LPG (VCN in tenancy diverse).

Analogamente, un tipo di risorsa denominato remote-peering-connections viene incluso in virtual-network-family e include altri due tipi di risorsa correlati al peering VCN remoto (tra le aree):

  • remote-peering-from
  • remote-peering-to

Il tipo di risorsa remote-peering-connections copre tutte le autorizzazioni correlate alle connessioni RPC (Remote Peering Connection). I tipi di risorsa remote-peering-from e remote-peering-to consentono di concedere l'autorizzazione per connettere due RPC e definire una relazione di peering tra le aree. Per ulteriori informazioni, vedere Peering remoto con un DRG legacy e peering remoto con un DRG aggiornato.

Nuance di diversi verbi

È possibile scrivere criteri che limitano il livello di accesso utilizzando un verbo criterio diverso (manage anziché use e così via). Se lo fai, ecco alcune sfumature da capire sui verbi delle policy per il Networking.

Tenere presente che il verbo inspect non solo restituisce informazioni generali sui componenti della rete cloud, ad esempio il nome e l'OCID di una lista di sicurezza o di una tabella di instradamento. Include anche il contenuto del componente (ad esempio, le regole effettive nella lista di sicurezza, gli instradamenti nella tabella di instradamento e così via).

Inoltre, i seguenti tipi di abilità sono disponibili solo con il verbo manage, non con il verbo use:

  • Aggiorna (abilitare/disabilitare) internet-gateways
  • Aggiornare security-lists
  • Aggiornare route-tables
  • Aggiorna dhcp-options
  • Collegare un gateway di instradamento dinamico (DRG) a una rete cloud virtuale (VCN)
  • Crea una connessione IPSec tra un DRG e un'apparecchiatura Customer-premise (CPE)
  • VCN peer
Importante

Ogni VCN dispone di vari componenti che influiscono direttamente sul funzionamento della rete (tabelle di instradamento, elenchi di sicurezza, opzioni DHCP, gateway Internet e così via). Quando crei uno di questi componenti, stabilisci una relazione tra quel componente e la VCN, il che significa che devi essere autorizzato in un criterio a creare sia il componente che a gestire la VCN stessa. Tuttavia, la possibilità di aggiornare il componente (per modificare le regole di instradamento, le regole della lista di sicurezza e così via) non richiede l'autorizzazione per gestire la VCN stessa, anche se la modifica di tale componente può influire direttamente sul funzionamento della rete. Questa discrepanza è progettata per garantire la flessibilità necessaria per concedere privilegi minimi agli utenti e non richiede di concedere un accesso eccessivo alla VCN in modo che l'utente possa gestire altri componenti della rete. Tieni presente che, dando a qualcuno la possibilità di aggiornare un particolare tipo di componente, ti fidi implicitamente del controllo del comportamento della rete.

Per ulteriori informazioni sui verbi dei criteri, vedere Nozioni di base sui criteri.

Criteri peering

Per i criteri utilizzati per connettere un DRG a VCN e DRG in altre aree e tenancy, vedere Criteri IAM per l'instradamento tra VCN.