ネットワーク・ソースの管理

このトピックでは、ネットワーク・ソースの作業の基本について説明します。

必須IAMポリシー

管理者グループに属している場合は、ネットワーク・ソースを管理するために必要なアクセス権があります。ネットワーク・ソース専用のポリシーを記述するには、IAMの詳細で、他のIAMコンポーネントとともに見つかったネットワークソース・リソース・タイプを使用してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

リソースのタグ付け

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。

ネットワーク・ソースの概要

ネットワーク・ソースとは、定義されたIPアドレスのセットです。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。作成したネットワーク・ソースは、ポリシーまたはテナンシの認証設定で参照し、元のIPアドレスに基づいてアクセスを制御できます。

ネットワーク・リソースは、テナンシ(またはルート・コンパートメント)内にのみ作成でき、また他のアイデンティティ・リソースと同じようにホーム・リージョンにのみ存在することができます。設定できるネットワーク・ソースの数の詳細は、IAMの制限を参照してください。

ネットワーク・ソースを使用して、次の方法でテナンシを保護できます:

  • IAMポリシーでネットワーク・ソースを指定して、リソースへのアクセスを制限します。

    IAMは、ポリシーで指定されている場合、許可されたIPアドレスから発生したリソースへのアクセスのリクエストを検証します。

    たとえば、テナンシ内のオブジェクト・ストレージ・バケットへのアクセスを、企業ネットワークを介してOracle Cloud Infrastructureにサインインしているユーザーのみに制限できます。あるいは、特定のVCNの特定のサブネットに属するリソースにのみサービス・ゲートウェイを介したリクエスト発行を許可することもできます。

  • テナンシの認証設定でネットワーク・ソースを指定して、コンソールへのサインインを制限します。

    ネットワーク・ソースで指定されたIPアドレスのみからのコンソールへのサインインを許可するようにテナンシの認証ポリシーを設定できます。ネットワーク・ソースの許可リストにないIPアドレスからサインインしようとするユーザーは、アクセスを拒否されます。認証ポリシーでのネットワーク・ソース制限の使用の詳細は、認証設定の管理を参照してください。

指定されたIPアドレスのみからのリソースへのアクセスを許可

アクセスをIPアドレス・セットから行われたリクエストに制限するには、次のことを実行します:

  1. 許可されたIPアドレスを指定するネットワーク・ソースを作成します。
  2. 条件内にネットワーク・ソース変数を使用するポリシーを記述します。

1. ネットワーク・ソースの作成

コンソールまたはAPIで示される手順に従って、ネットワーク・ソースを作成します。

1つのネットワーク・ソースには、特定のVCNからのIPアドレス、またはパブリックIPアドレス(あるいはその両方)を含めることができます。

VCNを指定するには、許可するVCN OCIDおよびサブネットIP範囲が必要です。

例:

  • パブリックIPアドレスまたはCIDRブロック: 192.0.2.143または192.0.2.0/24
  • VCN OCID: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
    • サブネットIPアドレスまたはCIDRブロック: 10.0.0.4、10.0.0.0/16

      特定のVCNからのIPアドレスを許可するには、0.0.0.0/0を使用します。

2. ポリシーの記述

IAMサービスにはポリシーで使用する変数が含まれており、これにより、条件を使用してポリシーのスコープを設定できます。変数:

request.networkSource.name

ネットワーク・ソースを作成した後、条件内でこの変数を使用してポリシーのスコープを設定できます。たとえば、「corpnet」という名前のネットワーク・ソースを作成するとします。グループ「CorporateUsers」のユーザーを、corpnetに指定されたIPアドレスからリクエストを発行したときにのみオブジェクト・ストレージ・リソースにアクセスできるように制限できます。これを行うには、次のようなポリシーを記述します:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

このポリシーを使用すると、CorporateUsersグループのユーザーは、ネットワーク・ソース「corpnet」で指定された許可されるIPアドレスからリクエストを発行したときにのみオブジェクト・ストレージ・リソースを管理できます。指定したIP範囲外部から行われたリクエストは拒否されます。ポリシーの記述に関する一般的な情報は、ポリシーの仕組みを参照してください。

コンソールを使用したネットワーク・ソースの管理

ネットワーク・ソースを作成するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ネットワーク・ソース」をクリックします。テナンシ内のネットワーク・ソースのリストが表示されます。
  2. 「ネットワーク・ソースの作成」をクリックします。
  3. 次を入力します:
    • 名前: ネットワーク・ソースの一意の名前。名前はテナンシ内で一意である必要があります。これは後で変更できません。機密情報の入力は避けてください。
    • 説明: わかりやすい説明。これは必要に応じて後で変更できます。
    • OCIサービスの許可: このチェック・ボックスはデフォルトで選択されており、指定したIPアドレス外部からリクエストが行われた場合でもOracle Cloud Infrastructureサービスのアクセスが許可されます。通常、このオプションを有効にします。たとえば、サービスとバケット内のオブジェクトとの相互作用を許可します。
    • ネットワーク・タイプ: 次のうち1つを選択します:
      • パブリック・ネットワーク: 特定のIPアドレスまたはCIDRブロック範囲を入力します。例: 192.0.2.143。

        「別のIPアドレス/CIDRブロック」をクリックして、許可されるアドレスまたは範囲をさらに追加します。

      • Virtual Cloudネットワーク: このオプションには次のように入力します:
        • VCN OCID: 許可するVCNからのOCIDを入力します。

          例: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • IPアドレス/CIDRブロック: VCNまたはサブネットCIDRブロックからのIPアドレスを入力します。例: 10.0.0.0/16 or 10.0.0.4。

          指定したVCNからのすべてのサブネットを許可する場合は、0.0.0.0/0を入力します。

          「別のIPアドレス/CIDRブロック」をクリックして、同じVCNからの許可されるアドレスまたは範囲をさらに追加します。

  4. このネットワーク・ソースにさらにIP範囲を追加するには、「ソースの追加」をクリックします。
  5. 拡張オプションの表示: リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  6. 「作成」をクリックします。
ネットワーク・ソースを更新するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ネットワーク・ソース」をクリックします。テナンシ内のネットワーク・ソースのリストが表示されます。
  2. リストでネットワーク・ソースを見つけ、名前をクリックしてその詳細を表示します。
  3. ネットワーク・ソースを編集します:
    • このネットワーク・ソースに許可されるIP範囲をさらに追加するには、「ソースの追加」をクリックします。「ソースの追加」ダイアログで、「ソースの追加」を再度クリックし、このネットワーク・ソースに追加するIPアドレスまたはCIDRブロックごとに詳細を入力します。
    • 許可されたソースを削除するには、「アクション」アイコン(3つのドット)をクリックし、「削除」をクリックします。
    • 「OCIサービスの許可」の設定を変更するには、「ソースの追加」をクリックします。チェック・ボックスの設定を更新し、「更新」をクリックします。
ネットワーク・ソースを削除するには
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「グループ」をクリックします。テナンシ内のネットワーク・ソースのリストが表示されます。
  2. リストでネットワーク・ソースを見つけて、アイテムの「アクション」アイコン(3つのドット)をクリックします。
  3. 「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

ネットワーク・ソースを管理するには、次のAPI操作を使用します:

ネットワーク・ソース・オブジェクトの作成

サンプルのネットワーク・ソース・オブジェクトは次の例のようになります:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
}

要素:

  • virtualSourceList - アクセスを許可されるVCN (OCID)およびそのVCN内のサブネットIP範囲を指定します。virtualSourceListには、VCN OCIDとサブネットIP範囲の両方が含まれている必要があります:
    • vcnID - VCNのOCID
    • IpRanges - リソースへのアクセスを許可される指定のVCNに属するサブネットのIPアドレスまたはCIDRブロックのカンマ区切りリスト。指定したVCN内のすべての範囲を許可するには、0.0.0.0/0を入力します。
  • publicSourceList - アクセスを許可されるパブリックIP範囲のカンマ区切りリスト。
  • services - 現在、サポートされている値は「all」または「none」のみです。デフォルトは「all」です。「all」を指定すると、Oracle Cloud Infrastructureサービスはリソースにアクセスできます。

例:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ],
"services": ["all"]
}