Documentazione dell'infrastruttura Oracle Cloud

Configurazione dell'accesso di rete con le ACL (Access Control Rules)

La specifica di una lista di controllo dell'accesso impedisce l'accesso al database a tutti gli indirizzi IP non inclusi nella lista ACL. Dopo aver specificato una lista di controllo dell'accesso, Autonomous Database accetta solo le connessioni dagli indirizzi nella lista di controllo dell'accesso e il database rifiuta tutte le altre connessioni client.

Argomento padre: Configurare l'accesso di rete con le regole di controllo dell'accesso (ACL) e gli endpoint privati

Configurare le liste di controllo dell'accesso quando si esegue il provisioning o si copia un'istanza

Quando si esegue il provisioning o la copia di Autonomous Database con l'opzione Accesso sicuro solo da IP e VCN consentiti, è possibile limitare l'accesso alla rete definendo le liste di controllo dell'accesso (ACL, Access Control List).

Per informazioni sul provisioning di Autonomous Database, vedere Esegui provisioning di un'istanza di Autonomous Database.

Configurare le ACL come indicato di seguito.

  1. Nell'area Scegli accesso alla rete, selezionare Accesso sicuro solo da IP e VCN consentiti.

    Con l'opzione Accesso sicuro solo da IP consentiti e VCN selezionata, la console mostra i campi e le opzioni per specificare le ACL:

    Segue la descrizione di adb_network_access_acl_provision.png
    Descrizione dell'immagine adb_network_access_acl_provision.png
  2. Nell'area Scegliere l'accesso alla rete, specificare le regole di controllo dell'accesso selezionando un tipo di notazione IP e immettendo Valori appropriato per il tipo selezionato:
    • Indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce dell'ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico nella console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • Rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      Utilizzare questa opzione per specificare la VCN da utilizzare con Oracle Cloud Infrastructure Service Gateway:

      • Nel campo Rete cloud virtuale selezionare la VCN da cui si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le reti VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • OCID (Rete cloud virtuale):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Fare clic su Aggiungi regola di controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  4. Fare clic su x per rimuovere una voce.
    È anche possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  5. Richiedi autenticazione TLS reciproca (mTLS).

    Dopo aver immesso un tipo di notazione IP e un valore, è possibile selezionare questa opzione. Sono disponibili le seguenti opzioni:

    • Quando è selezionata l'opzione Require mutual TLS (mTLS) authentication, saranno consentite solo le connessioni mTLS (l'autenticazione TLS non è consentita).

    • Quando l'opzione Require mutual TLS (mTLS) authentication è deselezionata, sono consentite le connessioni TLS e mTLS. Questa è la configurazione predefinita.

    Per ulteriori informazioni, vedere Update Network Options to Allow TLS or Require Only Mutual TLS (mTLS) Authentication on Autonomous Database.

  6. Completare i passi di provisioning o duplicazione rimanenti, come specificato in Esegui provisioning di un'istanza di Autonomous Database, Duplica un'istanza di Autonomous Database o Duplica un Autonomous Database da un backup.

Al termine del provisioning, è possibile aggiornare le ACL degli endpoint pubblici oppure modificare la configurazione di Autonomous Database in modo che utilizzi un endpoint privato.

Per informazioni sull'aggiornamento delle ACL, vedere Configura liste di controllo dell'accesso per un'istanza di Autonomous Database esistente.

Per informazioni sulla modifica a un endpoint privato, vedere Passare da endpoint pubblici a endpoint privati con Autonomous Database.

Configurare le liste di controllo dell'accesso per un'istanza di Autonomous Database esistente

Puoi controllare e limitare l'accesso ad Autonomous Database specificando le liste di controllo dell'accesso di rete (ACL, Network Access Control List). In un'istanza di Autonomous Database esistente con un endpoint pubblico è possibile aggiungere, modificare o rimuovere le ACL.

Configurare le ACL o aggiungere, rimuovere o aggiornare le ACL esistenti per un'istanza di Autonomous Database come indicato di seguito.

  1. Nella pagina Dettagli, nell'area Rete, accanto al campo Lista di controllo accesso, fare clic su Modifica.

    Mostra il riquadro Aggiorna accesso alla rete.

    Segue la descrizione di adb_network_access_update.png
    Descrizione dell'immagine adb_network_access_update.png

    In alternativa, è possibile fare clic su Altre azioni e selezionare Aggiorna accesso alla rete, quindi nel riquadro, in Tipo di accesso, selezionare Accesso sicuro solo da IP e VCN consentiti.

  2. Specificare le regole di controllo dell'accesso selezionando un tipo di notazione IP e i relativi valori:

    Selezionare una delle opzioni riportate di seguito.

    • Indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce dell'ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico nella console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • Rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      Utilizzare questa opzione per specificare la VCN da utilizzare con Oracle Cloud Infrastructure Service Gateway:

      • Nel campo Rete cloud virtuale selezionare la VCN da cui si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le reti VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • OCID (Rete cloud virtuale):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Fare clic su Aggiungi controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  4. Fare clic su x per rimuovere una voce.
    È anche possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  5. Fare clic su Aggiorna.

Se lo stato del ciclo di vita è Disponibile quando si fa clic su Aggiorna, lo stato del ciclo di vita diventa Aggiornamento fino a quando non viene impostata la lista ACL. Il database è ancora attivo e accessibile, non ci sono tempi di inattività. Una volta completato l'aggiornamento, lo stato del ciclo di vita torna a Disponibile e le ACL di rete della lista di controllo dell'accesso sono attive.

Passa dagli endpoint privati a quelli pubblici con Autonomous Database

Se l'istanza di Autonomous Database è configurata per utilizzare un endpoint privato, è possibile modificare la configurazione per utilizzare un endpoint pubblico.

Di seguito sono riportati i prerequisiti per modificare un'istanza da un endpoint privato a un endpoint pubblico.

Per specificare un endpoint pubblico per Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Nella pagina Dettagli, nell'elenco a discesa Altre azioni, selezionare Aggiorna accesso alla rete.
  2. Nella finestra di dialogo Aggiorna accesso alla rete, selezionare una delle opzioni Accesso sicuro ovunque o Accesso sicuro solo da IP e VCN consentiti.

    Ad esempio, se si seleziona Accesso sicuro solo da IP e VCN consentiti, nella finestra di dialogo vengono visualizzati i campi per configurare le regole di controllo dell'accesso.

    Segue la descrizione di adb_network_access_update.png
    Descrizione dell'immagine adb_network_access_update.png
  3. Nella finestra di dialogo Configura regole di controllo dell'accesso specificare le regole selezionando un tipo di notazione IP e i valori riportati di seguito.
    • Indirizzo IP:

      Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce dell'ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico nella console di Oracle Cloud Infrastructure per tale VM.

      Nota

      Se si desidera, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.
    • blocco CIDR:

      Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

    • Rete cloud virtuale:

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      • Nel campo Rete cloud virtuale selezionare la VCN da cui si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le reti VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
    • OCID (Rete cloud virtuale):

      Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

      • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
      • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

    Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  4. Fare clic su Aggiungi regola di controllo dell'accesso per aggiungere un nuovo valore alla lista di controllo dell'accesso.
  5. Fare clic su x per rimuovere una voce.
    È anche possibile cancellare il valore nel campo indirizzi IP o blocchi CIDR per rimuovere una voce.
  6. Fare clic su Aggiorna.
  7. Nella finestra di dialogo Conferma digitare il nome Autonomous Database per confermare la modifica.
  8. Nella finestra di dialogo Conferma fare clic su Aggiorna.

Lo stato del ciclo di vita viene modificato in Aggiornamento fino al completamento dell'operazione.

Note per la modifica dall'endpoint privato all'accesso alla rete di endpoint pubblici:

  • Dopo l'aggiornamento del tipo di accesso alla rete, tutti gli utenti del database devono ottenere un nuovo wallet e utilizzare il nuovo wallet per accedere al database. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).

  • Al termine dell'aggiornamento, è possibile modificare o definire nuove ACL delle regole di controllo dell'accesso per l'endpoint pubblico. Per ulteriori informazioni, vedere Configura liste di controllo dell'accesso per un'istanza di Autonomous Database esistente.

  • L'URL per Database Actions e per Database Tools è diverso quando un database utilizza un endpoint privato rispetto all'uso di un endpoint pubblico. Fare clic su Database Actions nella console di Oracle Cloud Infrastructure per trovare l'URL di Database Actions aggiornato e in Database Actions fare clic sulle schede appropriate per trovare gli URL degli strumenti di database aggiornati, dopo essere stati modificati da un endpoint privato a un endpoint pubblico.

Limitazioni e note della lista di controllo dell'accesso

Descrive le restrizioni e le note per le regole di controllo dell'accesso in Autonomous Database.

  • Vedere Intervalli di indirizzi IP per informazioni sugli intervalli di indirizzi IP pubblici in Oracle Cloud Infrastructure. È necessario consentire il traffico a questi blocchi CIDR per garantire l'accesso a un'istanza di Autonomous Database su un endpoint pubblico.

  • Se si desidera consentire solo le connessioni provenienti da un gateway di servizi, è necessario utilizzare l'indirizzo IP del gateway di servizi nella definizione ACL. A tale scopo, è necessario aggiungere una definizione ACL con il tipo di origine CIDR con il valore 240.0.0.0/4. Si noti che questo non è consigliato, invece di questo è possibile specificare singole VCN nella definizione ACL per le VCN da cui si desidera consentire l'accesso.

    Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

  • Quando si ripristina un database, le ACL esistenti non vengono sovrascritte dal ripristino.

  • Le ACL di rete si applicano alle connessioni al database e ai notebook Oracle Machine Learning. Se viene definita una lista di controllo dell'accesso, se si tenta di eseguire il login a Oracle Machine Learning Notebooks da un client il cui IP non è specificato nella lista di controllo dell'accesso, viene visualizzato l'errore "Login rifiutato in base alla lista di controllo dell'accesso impostata dall'amministratore".

  • Gli strumenti di Autonomous Database riportati di seguito sono soggetti alle ACL. È possibile utilizzare le ACL di reti cloud virtuali, reti cloud virtuali (OCID), indirizzi IP o blocchi CIDR per controllare l'accesso a questi strumenti:

    • Azioni database
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services

  • Se nella VCN si dispone di una subnet privata configurata per accedere alla rete Internet pubblica tramite un gateway NAT, è necessario immettere l'indirizzo IP pubblico del gateway NAT nella definizione ACL. I client nella subnet privata non dispongono di indirizzi IP pubblici. Per ulteriori informazioni, vedere Gateway NAT.

  • Se si utilizzano ACL e connessioni TLS sono consentite, è necessario modificare la configurazione di rete per non consentire connessioni TLS prima di rimuovere tutte le ACL. Per ulteriori informazioni, vedere Aggiornare l'istanza di Autonomous Database per richiedere mTLS e non consentire l'autenticazione TLS.

  • Per visualizzare le informazioni di rete per l'istanza, vedere Visualizza informazioni di rete in OCI Console.