Documentazione di Oracle Cloud Infrastructure

Controllo accesso mediante indirizzo IP

OCI offre la possibilità di aggiungere un ulteriore livello di sicurezza alle risorse cloud limitando l'accesso utilizzando controlli dell'accesso basati sulla rete. È possibile specificare un set limitato di indirizzi IP o blocchi CIDR (Classless Inter-Domain Routing) che dispongono dell'autorizzazione per interagire con le risorse.

Un'origine di rete è un set di indirizzi IP definiti. Possono essere l'indirizzo IP pubblico delle reti cloud virtuali (VCN) all'interno della tenancy. Quando un'origine di rete viene fornita in un criterio IAM, IAM convalida le richieste di accesso a una risorsa che proviene da un indirizzo IP consentito. Attenersi alla procedura indicata per creare criteri IAM che limitano l'accesso ai repository di codici Devops in base agli indirizzi IP specificati.

  1. Nella console di Oracle Cloud, aprire il menu di navigazione e fare clic su Identità e sicurezza. In Origini rete, fare clic su Crea origine rete.
  2. Immettere un nome e una descrizione.
  3. Nella sezione Reti selezionare il tipo di rete in uso e i rispettivi indirizzi IP.
    • Per fornire l'accesso agli indirizzi IP pubblici o agli intervalli di blocchi CIDR, selezionare Rete pubblica e fornire i relativi dettagli.
    • Per fornire l'accesso agli indirizzi IP privati nella VCN, selezionare Rete cloud virtuale e selezionare la VCN che si desidera consentire. Immettere l'indirizzo IP privato dalla VCN o da un blocco CIDR della subnet. Per consentire tutte le subnet dalla VCN specificata, immettere 0.0.0.0/0.
  4. Per aggiungere altri intervalli IP a questa origine di rete, fare clic su Aggiungi rete.
  5. Fare clic su Crea.

Dopo aver creato la rete con gli indirizzi IP richiesti, è possibile creare criteri IAM per consentire solo agli indirizzi IP elencati di accedere ai repository di codici DevOps. Per definire l'ambito del criterio mediante una condizione, è possibile utilizzare una variabile di servizio IAM. Ad esempio, request.networkSource.name.

Di seguito è riportato un criterio di esempio che consente solo agli indirizzi IP specificati di accedere ai repository di codici DevOps utilizzando devops-repository come tipo di risorsa. Utilizzare il nome dell'origine di rete creato nei passi precedenti. 
Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

È possibile modificare i verbi utilizzati nel criterio. Ad esempio, la modifica di "gestire" in "ispezionare" consente solo l'elenco delle risorse. Per ulteriori informazioni, vedere DevOps Criteri IAM.

Quando si accede ai repository o si eseguono operazioni Git su un repository da un indirizzo IP non consentito, potrebbe verificarsi un errore.