Gerenciando Perímetros de Rede
Os perímetros de rede em um domínio de identidades no serviço IAM restringem os endereços IP que os usuários podem usar para acessar.
Este seção contém os seguintes tópicos:
- Introdução
- Criando um Perímetro de Rede
- Obtendo os Detalhes de um Perímetro de Rede
- Atualizando um Perímetro de Rede
- Excluindo um Perímetro de Rede
Introdução
Depois de criar um perímetro de rede, você poderá impedir que os usuários acessem o serviço IAM se eles usarem um dos endereços IP no perímetro de rede. Isso é conhecido como bloqueio. Uma lista de bloqueio contém endereços IP ou domínios suspeitos. Como exemplo, um usuário pode estar tentando acessar o serviço IAM com um endereço IP proveniente de um país onde ataques são frequentes.
Endereço IP é uma string de números que identifica a rede de qualquer dispositivo conectado à internet. É como um endereço de retorno em um envelope e está associado a um domínio legível. Como o endereço IP informa a outros dispositivos de onde os dados vêm, pode ser uma boa maneira de rastrear conteúdo inválido.
As listas de bloqueio podem listar um único endereço IP ou uma faixa (conjunto) de IPs. O serviço IAM pode usar essas informações para bloquear usuários que tentam o acesso por endereços IP suspeitos.
Você também pode configurar o serviço IAM para que os usuários possam acessar usando apenas endereços IP contidos no perímetro de rede. Isso é conhecido como lista de permissão, na qual os usuários que tentam acessar o serviço IAM com esses endereços IP serão aceitos. A lista de permissão é o contrário da lista de bloqueio, a prática de identificar endereços IP suspeitos e, como resultado, o acesso ao serviço IAM será negado.
Você pode configurar o serviço IAM para que somente usuários que utilizam um determinado endereço IP ou um endereço IP de uma faixa específica possam acessar o serviço IAM. Ou você pode configurar o serviço IAM para monitorar endereços IP suspeitos ou faixas de endereços IP e impedir que os usuários que utilizam esses endereços IP acessem o serviço IAM.
Com um perímetro de rede, você pode definir, em um formato padrão, um endereço IP exato, uma faixa de endereços IP ou um conjunto de endereços IP mascarados. Os protocolos IPv4 (Internet Protocol versão 4) e IPv6 (Internet Protocol versão 6) são suportados.
-
Endereço IP exato. Você pode digitar um único endereço IP ou vários. Se você digitar vários endereços IP exatos, coloque uma vírgula entre eles.
-
Dois endereços IP, separados por um traço, que é uma faixa de IPs. Por exemplo, se você especificar a faixa de IPs
10.10.10.1-10.10.10.10, qualquer usuário que tentar acessar o serviço IAM com um endereço IP de10.10.10.1a10.10.10.10usará um endereço IP que vai estar dentro da faixa. -
Faixa de endereços IP mascarados. Cada número de um endereço IP é de 8 bits. Por exemplo, se você tiver uma faixa mascarada de
10.11.12.18/24, os três primeiros números (24 bits) serão a máscara que deverá ser aplicada para ver se um endereço IP está nessa faixa. Nesse exemplo, os endereços IP válidos serão aqueles que começam com10.11.12.
Os exemplos listados acima estão usando endereços IP com o protocolo IPv4. No entanto, você pode aplicar os mesmos formatos a endereços IP que usam o protocolo IPv6 (por exemplo,
B138:C14:52:8000:0:0:4D8).Depois de definir perímetros de rede, você poderá designá-los a uma política de acesso e configurar a política para que, se você estiver tentando acessar o serviço IAM usando um endereço IP definido no perímetro de rede, possa acessar o serviço IAM ou ser impedido de acessar o serviço IAM.
Consulte Adicionar uma Política de Sign-On para obter mais informações sobre como designar perímetros de rede a uma política de sign-on.