Documentação do Oracle Cloud Infrastructure

Gerenciando Origens de Rede

Este tópico descreve os conceitos básicos sobre como trabalhar com origens de rede.

Aplicando Tags em Recursos

Aplique tags aos recursos para ajudar a organizá-los de acordo com as suas necessidades de negócios. Você pode aplicar tags ao criar um recurso e pode atualizar um recurso posteriormente para adicionar, revisar ou remover tags. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Introdução a Origens de Rede

Uma origem de rede é um conjunto de endereços IP definidos. Os endereços IP podem ser endereços IP públicos ou endereços IP de VCNs em sua tenancy. Depois de criar a origem da rede, você pode referenciá-la na política ou nas definições de autenticação da tenancy para controlar o acesso com base no endereço IP original.

As origens de rede só podem ser criadas na tenancy (ou compartimento raiz) e, como outros recursos do serviço IAM, residem na região inicial. Para obter informações sobre o número de origens de rede que você pode ter, consulte Limites do Serviço IAM sem Domínios de Identidade.

Você pode usar origens de rede para ajudar a proteger sua tenancy das seguintes formas:

  • Especifique a origem da rede na política do serviço IAM para restringir o acesso aos recursos.

    Quando especificado em uma política, o IAM valida que as solicitações de acesso a um recurso se originam de um endereço IP permitido.

    Por exemplo, você pode restringir o acesso a buckets do serviço Object Storage em sua tenancy apenas a usuários que estão conectados ao Oracle Cloud Infrastructure por meio da sua rede corporativa. Ou você pode permitir que apenas os recursos pertencentes a sub-redes específicas de uma VCN específica façam solicitações por meio de um gateway de serviço.

  • Especifique a origem da rede nas definições de autenticação da sua tenancy para restringir o sign-in à Console.

    Você pode configurar a política de autenticação da sua tenancy para permitir o acesso à Console somente por meio dos endereços IP especificados na sua origem de rede. Os usuários que tentarem o acesso por um endereço IP que não esteja na lista permitida em sua origem de rede terão o acesso negado. Para obter informações sobre como usar uma restrição de origem de rede na política de autenticação, consulte Gerenciando Definições de Autenticação.

Permitindo o Acesso a Recursos Somente de Endereços IP Especificados

Para restringir o acesso a solicitações feitas de um conjunto de endereços IP, faça o seguinte:

  1. Crie uma origem de rede que especifique os endereços IP permitidos.
  2. Grave uma política que use a variável de origem de rede em uma condição.

1. Criar a Origem de Rede

Siga as instruções fornecidas para a Console ou a API para criar a origem de rede.

Uma única origem de rede pode incluir endereços IP de uma VCN específica, endereços IP públicos ou ambos.

Para especificar a VCN, você precisa do OCID da VCN e das faixas de IP de sub-rede que deseja permitir.

Exemplos:

  • Endereços IP públicos ou blocos CIDR autorizados: 192.0.2.143 ou 192.0.2.0/24
  • OCORRÊNCIA DA VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

    • Endereços IP de sub-rede ou blocos CIDR: 10.0.0.4, 10.0.0.0/16

      Para permitir qualquer endereço IP de uma VCN específica, use 0.0.0.0/0.

2. Gravar a Política

O serviço IAM inclui uma variável a ser usada na política que permite definir o escopo da sua política usando uma condição. A variável é:

request.networkSource.name

Depois de criar sua origem de rede, você poderá definir o escopo das políticas usando essa variável em uma condição. Por exemplo, suponha que você crie uma origem de rede chamada "corpnet". Você pode restringir usuários do grupo "CorporateUsers" para acessar seus recursos do serviço Object Storage somente quando suas solicitações se originam dos endereços IP especificados no corpnet. Para fazer isso, grave uma política da seguinte maneira: 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Esta política permite que usuários do grupo CorporateUsers gerenciem recursos do serviço Object Storage somente quando suas solicitações se originam de um endereço IP permitido especificado na origem de rede "corpnet". As solicitações feitas de fora das faixas de IP especificadas são negadas. Para obter informações gerais sobre a gravação de políticas, consulte Como as Políticas Funcionam.

Usando a Console para Gerenciar Origens de Rede

Para criar uma origem de rede
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Origens de Rede. Uma lista das origens de rede na sua tenancy será exibida.
  2. Selecione Criar Origem de Rede.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para a origem de rede. O nome deve ser exclusivo na sua tenancy. Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
    • Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
    • Tipo de Rede: Selecione uma das seguintes opções:

      • Rede Pública: Informe um endereço IP específico ou uma faixa de blocos CIDR. Por exemplo: 192.0.2.143.

        Selecione Outro Endereço IP/Bloco de CIDR para adicionar outro endereço ou intervalo permitido.

      • Rede Virtual na Nuvem: Informe o seguinte para esta opção:

        • OCID VCN: Informe o OCID da VCN que deseja permitir.

          Por exemplo: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • Endereço de IP/Bloco CIDR: Informe um endereço IP da VCN ou de um bloco CIDR de sub-rede. Por exemplo: 10.0.0.0/16 ou 10.0.0.4.

          Se quiser permitir todas as sub-redes da VCN especificada, informe 0.0.0.0/0.

          Selecione Outro Endereço IP/Bloco CIDR para adicionar outro endereço ou intervalo permitido da mesma VCN.

  4. Para adicionar mais faixas de IP a essa origem de rede, selecione Adicionar Origem.
  5. Mostrar Opções Avançadas: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  6. Selecione Criar.
Para atualizar uma origem de rede
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Origens de Rede. Uma lista das origens de rede na sua tenancy será exibida.
  2. Localize a origem de rede na lista e selecione seu nome para exibir seus detalhes.
  3. Edite a origem de rede:
    • Para adicionar mais endereços IP permitidos a essa origem de rede, selecione Adicionar Origens. Na caixa de diálogoAdicionar Origens, selecione Adicionar Origem novamente e informe os detalhes de cada endereço IP ou bloco CIDR que deseja adicionar a esta origem de rede.
    • Para remover uma origem permitida, selecione o menu Ações (três pontos) e selecione Excluir.
Para excluir uma origem de rede
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. A lista de origens de rede em sua tenancy é exibida.
  2. Localize a origem de rede na lista e selecione o menu Ações (três pontos) do item.
  3. Selecione Excluir.
  4. Confirme quando solicitado.
Para aplicar tags a uma origem de rede

Para obter instruções, consulte Tags de Recursos.

Usando a API

Para obter informações sobre o uso da API e as solicitações de assinatura, consulte Documentação da API REST e Credenciais da Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API para gerenciar origens de rede:

Criando o Objeto de Origem de Rede

Um objeto de origem de rede de amostra é semelhante ao exemplo a seguir:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Os elementos são:

  • virtualSourceList - especifica a VCN (OCID) e as faixas de IP de sub-rede dentro dessa VCN que têm permissão de acesso. O virtualSourceList deve conter o OCID da VCN e as faixas de IP de sub-rede:
    • vcnID - o OCID da VCN
    • IpRanges - lista separada por vírgulas dos endereços IP ou blocos CIDR das sub-redes pertencentes à VCN especificada que podem acessar o recurso. Para permitir todas as faixas na VCN especificada, digite 0.0.0.0/0.
  • publicSourceList - lista separada por vírgulas das faixas de IP público que têm permissão de acesso.

Exemplo:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}