Documentação do Oracle Cloud Infrastructure

Controle de Acesso Usando o Endereço IP

O OCI oferece uma opção para incluir mais uma camada de segurança nos seus recursos de nuvem, limitando o acesso com controles de acesso baseados em rede. Você pode especificar um conjunto limitado de endereços IP ou blocos CIDR (Classless Inter-Domain Routing) que tenham permissão para interagir com os seus recursos.

Uma origem de rede é um conjunto de endereços IP definidos. Eles podem ser endereços IP públicos de VCNs (Redes Virtuais na Nuvem) em sua tenancy. Quando uma origem de rede é fornecida em uma política do serviço IAM, o IAM valida as solicitações para acessar um recurso originado de um endereço IP permitido. Siga as etapas fornecidas para criar políticas do IAM que limitem o acesso aos repositórios de código do serviço DevOps com base nos endereços IP especificados:

  1. Na Console do Oracle Cloud, abra o menu de navegação e clique em Identidade e Segurança. Em Origens de Rede, clique em Criar Origem de Rede.
  2. Digite um nome e uma descrição.
  3. Na seção Redes, selecione o tipo de rede que você está usando e os respectivos endereços IP.
    • Para fornecer acesso a endereços IP públicos ou intervalos de blocos CIDR, selecione Rede Pública e forneça os respectivos detalhes.
    • Para fornecer acesso a endereços IP privados na sua VCN, selecione Rede Virtual na Nuvem e selecione a VCN que deseja permitir. Digite o endereço IP privado da VCN ou de um bloco de CIDR de sub-rede. Para permitir todas as sub-redes da VCN especificada, informe 0.0.0.0/0.
  4. Para adicionar mais faixas de IP a esta origem de rede, clique em Adicionar Rede.
  5. Clique em Criar.

Após criar a rede com os endereços IP obrigatórios, você poderá criar políticas do IAM para permitir que apenas os endereços IP listados acessem repositórios de código do serviço DevOps. Para definir o escopo da sua política usando uma condição, você pode usar uma variável do serviço IAM. Por exemplo, request.networkSource.name.

Veja a seguir uma amostra de política para permitir que apenas endereços IP especificados acessem os repositórios de código do serviço DevOps usando devops-repository como o tipo de recurso. Use o nome da origem de rede que foi criada nas etapas anteriores: 
Allow group <group-name> to manage devops-repository in compartment <compartment_name> where request.networkSource.name='<network-source-name>'

Você pode modificar os verbos usados na política. Por exemplo, a alteração de "manage" para "inspect" permite apenas a listagem de recursos. Para obter mais informações, consulte Políticas de IAM do serviço DevOps.

Ao acessar repositórios ou executar operações do Git em um repositório com base em um endereço IP que não é permitido, você poderá encontrar um erro.