Documentazione di Oracle Cloud Infrastructure

Configurazione dell'accesso di rete con le regole di controllo dell'accesso (ACL, Access Control Rules)

La specifica di una lista di controllo dell'accesso impedisce a tutti gli indirizzi IP non presenti nella lista ACL di accedere al database. Dopo aver specificato una lista di controllo dell'accesso, Autonomous Database accetta solo le connessioni dagli indirizzi nella lista di controllo dell'accesso e il database rifiuta tutte le altre connessioni client.

Argomento padre: Configura accesso di rete con regole di controllo dell'accesso (ACL, Access Control Rules) ed endpoint privati

Configurare le liste di controllo dell'accesso quando si esegue il provisioning o la copia di un'istanza

Quando esegui il provisioning o la copia di Autonomous Database con l'opzione Accesso sicuro solo da IP e VCN consentiti, è possibile limitare l'accesso alla rete definendo le liste di controllo dell'accesso (ACL, Access Control List).

Per informazioni sul provisioning di Autonomous Database, vedere Provisioning di un'istanza di Autonomous Database.

Configurare le ACL come indicato di seguito.

  1. Nell'area Scegli accesso alla rete, selezionare Solo accesso sicuro da IP e VCN consentiti.

    Con l'opzione Accesso sicuro solo da IP e VCN consentiti selezionata, la console mostra i campi e le opzioni per specificare le ACL:

    Segue la descrizione di adb_network_access_acl_provision.png
    Descrizione dell'immagine adb_network_access_acl_provision.png
  2. Nell'area Scegli accesso di rete, specificare le regole di controllo dell'accesso selezionando un tipo di notazione IP e immettendo i valori appropriati per il tipo selezionato:
    • indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico sulla console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      Utilizzare questa opzione per specificare la VCN da utilizzare con un Oracle Cloud Infrastructure Service Gateway:

      • Nel campo Rete cloud virtuale selezionare la VCN dalla quale si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • Rete cloud virtuale (OCID):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Fare clic su Aggiungi regola di controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  4. Fare clic su x per rimuovere una voce.
    È inoltre possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  5. Richiedi autenticazione TLS reciproca (mTLS).

    Dopo aver immesso un tipo di notazione IP e un valore, è possibile selezionare questa opzione. Sono disponibili le seguenti opzioni:

    • Quando è selezionata l'opzione Require mutual TLS (mTLS), sono consentite solo connessioni mTLS (non è consentita l'autenticazione TLS).

    • Quando l'opzione Require mutual TLS (mTLS) è deselezionata, le connessioni TLS e mTLS sono consentite. Questa è la configurazione predefinita.

    Per ulteriori informazioni, vedere Update Network Options to Allow TLS or Require Only Mutual TLS (mTLS) Authentication on Autonomous Database.

  6. Completare i passi di provisioning o duplicazione rimanenti, come specificato in Esegui provisioning di un'istanza di Autonomous Database, Copia di un'istanza di Autonomous Database o Copia di un Autonomous Database da un backup.

Al termine del provisioning, è possibile aggiornare le ACL degli endpoint pubblici oppure modificare la configurazione di Autonomous Database in modo che utilizzi un endpoint privato.

Per informazioni sull'aggiornamento delle liste di controllo dell'accesso per un'istanza di Autonomous Database esistente, vedere Configura liste di controllo dell'accesso per un'istanza di Autonomous Database esistente.

Per informazioni sul passaggio a un endpoint privato, vedere Passare da endpoint pubblici a endpoint privati con Autonomous Database.

Configurare le liste di controllo dell'accesso per un'istanza di Autonomous Database esistente

Puoi controllare e limitare l'accesso ad Autonomous Database specificando le liste di controllo dell'accesso di rete (ACL, Network Access Control List). In un'istanza di Autonomous Database esistente con un endpoint pubblico è possibile aggiungere, modificare o rimuovere le ACL.

Configurare le ACL o aggiungere, rimuovere o aggiornare le ACL esistenti per un'istanza di Autonomous Database come riportato di seguito.

  1. Nella pagina Dettagli, nell'area Rete, accanto al campo della lista di controllo dell'accesso, fare clic su Modifica.

    Viene visualizzato il riquadro Aggiorna accesso alla rete.

    Segue la descrizione di adb_network_access_update.png
    Descrizione dell'immagine adb_network_access_update.png

    In alternativa, è possibile fare clic su Altre azioni e selezionare Aggiorna accesso alla rete. Nel riquadro, in Tipo di accesso, selezionare Accesso sicuro solo da IP e VCN consentiti.

  2. Specificare le regole di controllo dell'accesso selezionando un tipo di notazione IP e i relativi valori:

    Selezionare una delle opzioni riportate di seguito.

    • indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico sulla console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      Utilizzare questa opzione per specificare la VCN da utilizzare con un Oracle Cloud Infrastructure Service Gateway:

      • Nel campo Rete cloud virtuale selezionare la VCN dalla quale si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • Rete cloud virtuale (OCID):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Fare clic su Aggiungi controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  4. Fare clic su x per rimuovere una voce.
    È inoltre possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  5. Fare clic su Aggiorna.

Se lo stato del ciclo di vita è Disponibile quando si fa clic su Aggiorna, lo stato del ciclo di vita viene modificato in Aggiornamento finché non viene impostata l'ACL. Il database è ancora attivo e accessibile, non sono previsti tempi di inattività. Una volta completato l'aggiornamento, lo stato del ciclo di vita torna a Disponibile e le ACL di rete della lista di controllo dell'accesso sono effettive.

Passa da endpoint privati a pubblici con Autonomous Database

Se l'istanza di Autonomous Database è configurata per utilizzare un endpoint privato, è possibile modificare la configurazione per utilizzare un endpoint pubblico.

Di seguito sono riportati alcuni prerequisiti per la modifica di un'istanza da endpoint privato a endpoint pubblico.

Per specificare un endpoint pubblico per Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Nella pagina Dettagli, nell'elenco a discesa Altre azioni selezionare Aggiorna accesso alla rete.
  2. Nella finestra di dialogo Aggiorna accesso alla rete, selezionare una delle opzioni Accesso sicuro ovunque o Accesso sicuro solo da IP e VCN consentiti.

    Ad esempio, se si seleziona Solo accesso sicuro da IP e VCN consentiti, nella finestra di dialogo vengono visualizzati i campi per configurare le regole di controllo dell'accesso.

    Segue la descrizione di adb_network_access_update.png
    Descrizione dell'immagine adb_network_access_update.png
  3. Nella finestra di dialogo, in Configura regole di controllo dell'accesso specificare le regole selezionando un tipo di notazione IP e i valori riportati di seguito.
    • indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico sulla console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      • Nel campo Rete cloud virtuale selezionare la VCN dalla quale si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • Rete cloud virtuale (OCID):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database viene eseguito mediante Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Se si desidera, nel campo Indirizzi IP o CIDR immettere indirizzi IP privati o blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  4. Fare clic su Aggiungi regola di controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  5. Fare clic su x per rimuovere una voce.
    È inoltre possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  6. Fare clic su Aggiorna.
  7. Nella finestra di dialogo Conferma, digitare il nome di Autonomous Database per confermare la modifica.
  8. Nella finestra di dialogo Conferma, fare clic su Aggiorna.

Lo stato del ciclo di vita viene modificato in Aggiornamento fino al completamento dell'operazione.

Note per la modifica dall'endpoint privato all'accesso alla rete dell'endpoint pubblico:

  • Dopo aver aggiornato il tipo di accesso alla rete, tutti gli utenti del database devono ottenere un nuovo wallet e utilizzare il nuovo wallet per accedere al database. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).

  • Al termine dell'aggiornamento, è possibile modificare o definire nuove ACL di regole di controllo dell'accesso per l'endpoint pubblico. Per ulteriori informazioni, vedere Configura liste di controllo dell'accesso per un'istanza di Autonomous Database esistente.

  • L'URL per Database Actions e per gli strumenti di database sono diversi quando un database utilizza un endpoint privato rispetto all'uso di un endpoint pubblico. Fare clic su Azioni database nella console di Oracle Cloud Infrastructure per trovare l'URL aggiornato di Database Actions e in Database Actions fare clic sulle schede appropriate per trovare gli URL aggiornati degli strumenti di database dopo la modifica da un endpoint privato a un endpoint pubblico.

Limitazioni e note lista di controllo accesso

Descrive le limitazioni e le note per le regole di controllo dell'accesso in Autonomous Database.

  • Per informazioni sugli intervalli di indirizzi IP pubblici in Oracle Cloud Infrastructure, vedere Intervalli di indirizzi IP. È necessario consentire il traffico a questi blocchi CIDR per garantire l'accesso a un'istanza di Autonomous Database in un endpoint pubblico.

  • Se si desidera consentire solo le connessioni provenienti da un gateway di servizi, è necessario utilizzare l'indirizzo IP del gateway di servizi nella definizione ACL. A tale scopo, è necessario aggiungere una definizione ACL con il tipo di origine CIDR con il valore 240.0.0.0/4. Tenere presente che questa opzione non è consigliata. In alternativa, è possibile specificare singole VCN nella definizione ACL per le VCN dalle quali si desidera consentire l'accesso.

    Per ulteriori informazioni, consulta la sezione relativa all'accesso ai servizi Oracle: gateway di servizi.

  • Quando si ripristina un database, le ACL esistenti non vengono sovrascritte dal ripristino.

  • Le ACL di rete si applicano alle connessioni al database e ai notebook Oracle Machine Learning. Se viene definita una lista ACL, se si tenta di eseguire il login a Oracle Machine Learning Notebooks da un client il cui IP non è specificato nella lista ACL, viene visualizzato l'errore "Login rifiutato in base alla lista di controllo dell'accesso impostata dall'amministratore".

  • Gli strumenti di Autonomous Database riportati di seguito sono soggetti alle ACL. Per controllare l'accesso a questi strumenti, è possibile utilizzare le ACL di rete cloud virtuale, rete cloud virtuale (OCID), indirizzo IP o blocco CIDR.

    • Database Actions
    • Oracle APEX
    • Studio Oracle Graph
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services

  • Se nella tua VCN è presente una subnet privata configurata per accedere alla rete Internet pubblica tramite un gateway NAT, devi immettere l'indirizzo IP pubblico del gateway NAT nella definizione della ACL. I client nella subnet privata non dispongono di indirizzi IP pubblici. Per ulteriori informazioni, vedere Gateway NAT.

  • Se si utilizzano le ACL e le connessioni TLS sono consentite, è necessario modificare la configurazione di rete per non consentire le connessioni TLS prima di rimuovere tutte le ACL. Per ulteriori informazioni, vedere Aggiornare l'istanza di Autonomous Database in modo da richiedere mTLS e non consentire l'autenticazione TLS.

  • Per visualizzare le informazioni di rete per l'istanza, vedere Visualizza informazioni di rete nella console OCI.