Documentation Oracle Cloud Infrastructure

Contrôle d'accès

Cette rubrique fournit des informations de base sur l'utilisation des compartiments  et des stratégies IAM  afin de contrôler l'accès au réseau cloud.

Compartiments et réseau cloud

Chaque fois que vous créez une ressource cloud, telle qu'un réseau cloud virtuel ou une instance de calcul, vous devez indiquer le compartiment IAM dans lequel doit se trouver la ressource. Un compartiment est un ensemble de ressources liées dont l'accès est restreint à certains groupes possédant des droits d'accès accordés par un administrateur au sein de l'organisation. L'administrateur crée des compartiments et les stratégies IAM correspondantes afin de contrôler quels utilisateurs de votre organisation accèdent à quels compartiments. A terme, l'objectif est de s'assurer que chaque utilisateur ne peut accéder qu'aux ressources dont il a besoin.

Si votre société commence seulement à utiliser Oracle Cloud Infrastructure, seules quelques personnes ont besoin de créer et de gérer le réseau cloud virtuel et ses composants, de lancer des instances dans le réseau cloud virtuel et d'attacher des volumes de stockage de blocs à ces instances. Ces quelques personnes ont besoin d'accéder à toutes ces ressources, qui peuvent donc se trouver dans le même compartiment.

Dans un environnement de production d'entreprise doté d'un réseau cloud virtuel, votre société peut utiliser plusieurs compartiments pour faciliter le contrôle de l'accès à certains types de ressource. Par exemple, l'administrateur peut créer Compartiment_A pour votre réseau cloud virtuel et d'autres composants de fonctions de réseau. Il peut ensuite créer Compartiment_B pour toutes les instances de calcul et tous les volumes de stockage de blocs utilisés par le service RH, et Compartiment_C pour l'ensemble des instances et des volumes de stockage de blocs utilisés par le service Marketing. L'administrateur doit ensuite créer des stratégies IAM qui octroient aux utilisateurs uniquement le niveau d'accès dont ils ont besoin dans chaque compartiment. Par exemple, l'administrateur de l'instance RH n'est pas autorisé à modifier le réseau cloud existant. Il possède donc les droits d'accès complets pour Compartiment_B, mais un accès limité à Compartiment_A (juste ce qu'il faut pour lancer des instances sur le réseau). S'il tente de modifier d'autres ressources dans Compartiment_A, sa demande sera refusée.

Les ressources réseau, telles que les réseaux cloud virtuels, les sous-réseaux, les tables de routage, les listes de sécurité, les passerelles de service, les passerelles NAT, les connexions VPN et les connexions FastConnect, peuvent être déplacées d'un compartiment à un autre. Lorsque vous déplacez une ressource vers un nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement.

Pour plus d'informations sur les compartiments et sur le contrôle de l'accès aux ressources cloud, reportez-vous à En savoir plus sur les meilleures pratiques pour configurer votre location et à Présentation d'Identity and Access Management.

Stratégies IAM pour Networking

La méthode la plus simple pour accorder l'accès à Networking est d'utiliser la stratégie répertoriée dans Autoriser les administrateurs réseau à gérer un réseau cloud. Elle couvre le réseau cloud et tous les autres composants Networking (sous-réseaux, listes de sécurité, tables de routage, passerelles, etc.). Pour permettre aux administrateurs réseau de lancer des instances (afin de tester la connectivité réseau), reportez-vous à Autoriser les utilisateurs à lancer des instances de calcul.

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Afin d'obtenir des documents de référence sur l'écriture de stratégies plus détaillées pour Networking, reportez-vous à Détails des services de base.

Types de ressource individuelle

Si vous le souhaitez, vous pouvez écrire des stratégies qui se concentrent sur des types de ressource individuelle (par exemple, uniquement les listes de sécurité) au lieu du type virtual-network-family plus large. Le type de ressource instance-family inclut également plusieurs droits pour les cartes d'interface réseau virtuelles, qui résident dans un sous-réseau mais qui sont attachées à une instance. Pour plus d'informations, reportez-vous à Détails des combinaisons de verbe et de type de ressource et à Cartes d'interface réseau virtuelles (VNIC).

Un type de ressource appelé local-peering-gateways est inclus dans virtual-network-family et comprend deux autres types de ressource liés à l'appairage local de réseaux cloud virtuels (au sein de la région) :

  • local-peering-from
  • local-peering-to

Le type de ressource local-peering-gateways couvre tous les droits d'accès relatifs aux passerelles d'appairage local. Les types de ressource local-peering-from et local-peering-to permettent d'accorder le droit de connecter deux passerelles d'appairage local et de définir une relation d'appairage au sein d'une seule région. Pour plus d'informations, reportez-vous à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans la même location) ou à Appairage local à l'aide d'une passerelle d'appairage local (réseaux cloud virtuels dans des locations différentes).

De même, un type de ressource appelé remote-peering-connections est inclus dans virtual-network-family et comprend deux autres types de ressource liés à l'appairage à distance de réseaux cloud virtuels (entre des régions) :

  • remote-peering-from
  • remote-peering-to

Le type de ressource remote-peering-connections couvre tous les droits d'accès relatifs aux connexions d'appairage à distance. Les types de ressource remote-peering-from et remote-peering-to permettent d'autoriser la connexion de deux RPC et la définition d'une relation d'appairage entre des régions. Pour plus d'informations, reportez-vous aux sections Remote Peering with a Legacy DRG et Remote Peering with an Upgraded DRG.

Nuances des différents verbes

Si vous le souhaitez, vous pouvez écrire des stratégies qui limitent le niveau d'accès en utilisant un verbe de stratégie différent (manage par rapport à use, etc.). Dans ce cas, vous devez comprendre les nuances concernant les verbes de stratégie pour Networking.

Gardez à l'esprit que le verbe inspect ne renvoie pas uniquement des informations générales sur les composants du réseau cloud (par exemple, le nom et l'OCID d'une liste de sécurité ou d'une table de routage). Il inclut également le contenu du composant (par exemple, les règles réelles dans la liste de sécurité, les routages de la table de routage, etc.).

En outre, les types de fonction suivants sont disponibles uniquement avec le verbe manage, et non avec le verbe use :

  • Mettre à jour (activer/désactiver) internet-gateways
  • Mettre à jour security-lists
  • Mettre à jour route-tables
  • Mettre à jour dhcp-options
  • Attacher une passerelle de routage dynamique à un réseau cloud virtuel
  • Créer une connexion IPSec entre une passerelle de routage dynamique et un CPE (Customer-Premises Equipment)
  • Appairer des réseaux cloud virtuels
Important

Chaque réseau cloud virtuel dispose de divers composants qui affectent directement le comportement du réseau (tables de routage, listes de sécurité, options DHCP, passerelle Internet, etc.). Lorsque vous créez l'un de ces composants, vous établissez une relation entre ce composant et le réseau cloud virtuel, ce qui signifie qu'une stratégie doit vous autoriser à créer le composant et à gérer le réseau cloud virtuel. Toutefois, la possibilité de mettre à jour ce composant (pour modifier les règles de routage, les règles de liste de sécurité, etc.) ne nécessite pas le droit de gérer le réseau cloud virtuel, même si la modification de ce composant peut affecter directement le comportement du réseau. Cette différence est conçue pour vous permettre d'accorder le moins de privilèges possible aux utilisateurs et ne pas vous obliger à accorder un accès excessif au réseau cloud virtuel juste pour que les utilisateurs puissent gérer d'autres composants du réseau. Gardez à l'esprit qu'en donnant à un utilisateur la possibilité de mettre à jour un type de composant particulier, vous lui faites implicitement confiance en ce qui concerne le contrôle du comportement du réseau.

Pour plus d'informations sur les verbes de stratégie, reportez-vous à Notions de base relatives aux stratégies.

Stratégies d'appairage

Pour connaître les stratégies utilisées pour connecter un DRG à des réseaux cloud virtuels et des passerelles de routage dynamique dans d'autres régions et locations, reportez-vous à Stratégies IAM pour le routage entre les réseaux cloud virtuels.