Gerenciando Perímetros de Rede
Os perímetros de rede em um domínio de identidades no IAM restringem os endereços IP que os usuários podem usar para acessar.
Você pode executar as seguintes tarefas relacionadas aos perímetros de rede:
- Listando Perímetros de Rede
- Criando um Perímetro de Rede
- Obtendo os Detalhes de um Perímetro de Rede
- Atualizando um Perímetro de Rede
- Excluindo um Perímetro de Rede
Introdução
Depois de criar um perímetro de rede, você poderá impedir que os usuários acessem o serviço IAM se eles usarem um dos endereços IP no perímetro de rede. Isso é conhecido como bloqueio. Uma lista de bloqueio contém endereços IP ou domínios suspeitos. Como exemplo, um usuário pode estar tentando acessar o serviço IAM com um endereço IP proveniente de um país onde ataques são alarmantes.
Endereço IP é uma string de números que identifica a rede de qualquer dispositivo conectado à internet. Da mesma forma que um endereço de devolução em um envelope, ele está associado a um domínio legível por humanos. Como o endereço IP informa a outros dispositivos de onde vêm os dados, ele pode ser uma boa maneira de rastrear conteúdo ruim.
As listas de bloqueio podem listar um único endereço IP ou uma faixa (conjunto) de IPs. O serviço IAM pode usar essas informações para bloquear usuários que tentam o acesso por endereços IP suspeitos.
Você também pode configurar o IAM para que usuários possam se conectar, usando apenas endereços IP contidos no perímetro de rede. Isso é conhecido como lista de permissões, em que os usuários que tentam entrar no IAM com esses endereços IP são aceitos. A lista de permissões é o inverso da lista de bloqueio, a prática de identificar endereços IP suspeitos e, como resultado, o acesso negado ao IAM.
Você pode configurar o serviço IAM para que somente usuários que utilizam um determinado endereço IP ou um endereço IP de uma faixa específica possam acessar o serviço IAM. Ou você pode configurar o serviço IAM para monitorar endereços IP suspeitos ou faixas de endereços IP e impedir que os usuários que utilizam esses endereços IP acessem o serviço IAM.
Com um perímetro de rede, você pode definir, em um formato padrão, um endereço IP exato, uma faixa de endereços IP ou um conjunto de endereços IP mascarados. Os protocolos IPv4 (Internet Protocol versão 4) e IPv6 (Internet Protocol versão 6) são suportados.
-
Endereço IP exato. Você pode digitar um único endereço IP ou vários. Se você digitar vários endereços IP exatos, coloque uma vírgula entre eles.
-
Dois endereços IP, separados por um traço, que é uma faixa de IPs. Por exemplo, se você especificar o intervalo de IP
10.10.10.1-10.10.10.10, qualquer usuário que tentar acessar o IAM com um endereço IP de10.10.10.1a10.10.10.10estará usando um endereço IP que esteja dentro do intervalo de IP. -
Faixa de endereços IP mascarados. Cada número de um endereço IP é de 8 bits. Por exemplo, se você tiver uma faixa mascarada de
10.11.12.18/24, os três primeiros números (24 bits) serão a máscara que deverá ser aplicada para ver se um endereço IP está nessa faixa. Para este exemplo, endereços IP válidos são aqueles que começam com10.11.12.Cuidado
Não use um intervalo de endereços IP de0.0.0.0/0, pois ele abrange todos os endereços IPv4 globalmente.
Os exemplos listados usam endereços IP com o protocolo IPv4. No entanto, você pode aplicar os mesmos formatos a endereços IP que usam o protocolo IPv6 (por exemplo,
B138:C14:52:8000:0:0:4D8).Depois de definir perímetro de rede, você poderá designá-los a uma política de sign-on e configurá-la para que, se estiver tentando acessar o IAM usando um endereço IP definido no perímetro de rede, você possa acessar o IAM ou ser impedido de acessar o IAM.
Consulte Adicionar uma Política de Sign-On para obter mais informações sobre como designar perímetros de rede a uma política de sign-on.