Documentação do Oracle Cloud Infrastructure

Conexão com Sessões no Bastion

Este tópico descreve como estabelecer conexão com sessões de bastion.

Para obter informações sobre como criar e gerenciar sessões do bastion, consulte Gerenciando Sessões no Bastion. Para obter informações sobre como criar e gerenciar bastions, consulte Gerenciando Bastions.

Bastions são serviços gerenciados pela Oracle. Você usa um bastion para criar sessões SSH (Secure Shell) que permitem acesso a outros recursos privados. Mas você não pode se conectar diretamente a um bastion com SSH e administrá-lo ou monitorá-lo como um host tradicional.

Ao estabelecer conexão com uma sessão do bastion, recomendamos que você siga as melhores práticas de SSH descritas em Protegendo o Serviço Bastion.

Você pode estabelecer conexão com os seguintes tipos de sessões:

Política do Serviço IAM Obrigatória

Para usar o Oracle Cloud Infrastructure, um administrador deve conceder acesso à segurança em uma política . Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está autorizado, verifique com o administrador o tipo de acesso e em qual compartimento deseja trabalhar.

Para usar todos os recursos do Bastion, você deve ter as seguintes permissões:

  • Gerenciar bastions, sessões e redes
  • Ler instâncias de computação
  • Ler plug-ins do agente da instância de computação (Oracle Cloud Agent)
  • Inspecionar solicitações de serviço
Exemplo de política:
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Consulte Políticas do IAM para o Serviço Bastion para obter informações detalhadas da política e mais exemplos.

Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Permitindo o Acesso à Rede pelo Bastion

A VCN (rede virtual na nuvem) na qual o recurso de destino foi criado deve permitir o tráfego de rede de entrada do bastion na porta de destino.

Por exemplo, se você quiser usar uma sessão para estabelecer conexão com a porta 8001 em uma instância de computação em um bastion com o endereço IP 192.168.0.99, a sub-rede usada para acessar a instância precisará permitir o tráfego de entrada proveniente de 192.168.0.99 na porta 8001.

  1. Na página de lista Bastions, localize o bastion com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista ou o bastion, consulte Listando Bastions.
  2. Selecione o nome do bastion.
  3. Copie o Endereço IP de ponto final privado.
  4. Selecione a Sub-rede de destino.

    Se o recurso de destino estiver em uma sub-rede diferente da usada pelo bastion para acessar essa VCN, edite a sub-rede do recurso de destino.

  5. Na página Detalhes da Sub-rede, clique em uma lista de segurança existente que esteja designada a esta sub-rede.

    Como alternativa, você pode criar uma lista de segurança e designá-la a essa sub-rede.

  6. Selecione Add Ingress Rules.
  7. Em CIDR de Origem, informe um bloco CIDR que inclua o Endereço IP do ponto final privado do bastion.

    Por exemplo, o bloco CIDR <bastion_private_IP>/32 inclui somente o endereço IP do bastion.

  8. Para Protocolo IP, selecione TCP.
  9. Para Intervalo de Portas de Destino, informe o número da porta no recurso de destino.

    Para sessões SSH Gerenciadas, especifique a porta 22.

  10. Selecione Add Ingress Rules.

Para saber mais, consulte Listas de Segurança.