Documentação do Oracle Cloud Infrastructure

Gerenciando Origens de Rede

Este tópico descreve os conceitos básicos sobre como trabalhar com origens de rede.

Aplicando Tags em Recursos

Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize-o posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Introdução a Origens de Rede

Uma origem de rede é um conjunto de endereços IP definidos. Os endereços IP podem ser endereços IP públicos ou endereços IP de VCNs em sua tenancy. Depois de criar a origem da rede, você pode referenciá-la na política ou nas definições de autenticação da tenancy para controlar o acesso com base no endereço IP original.

As origens de rede só podem ser criadas na tenancy (ou compartimento raiz) e, como outros recursos do serviço IAM, residem na região home. Para obter informações sobre o número de origens de rede que você pode ter, consulte Limites do Serviço IAM sem Domínios de Identidade.

Você pode usar origens de rede para ajudar a proteger sua tenancy das seguintes formas:

  • Especifique a origem da rede na política do serviço IAM para restringir o acesso aos recursos.

    Quando especificado em uma política, o serviço IAM valida que as solicitações para acessar um recurso são originárias de um endereço IP permitido.

    Por exemplo, você pode restringir o acesso aos buckets do serviço Object Storage em sua tenancy apenas aos usuários conectados ao Oracle Cloud Infrastructure por meio de sua rede corporativa. Ou você pode permitir que apenas os recursos pertencentes a sub-redes específicas de uma VCN específica façam solicitações por meio de um gateway de serviço.

  • Especifique a origem da rede nas definições de autenticação da tenancy para restringir o acesso à Console.

    Você pode configurar a política de autenticação da sua tenancy para permitir acesso à Console somente pelos endereços IP especificados na origem da rede. Os usuários que tentarem o acesso por um endereço IP que não esteja na lista permitida em sua origem de rede terão o acesso negado. Para obter informações sobre como usar uma restrição de origem de rede na política de autenticação, consulte Gerenciando Definições de Autenticação.

Permitindo o Acesso a Recursos Somente de Endereços IP Especificados

Para restringir o acesso a solicitações feitas de um conjunto de endereços IP, faça o seguinte:

  1. Crie uma origem de rede que especifique os endereços IP permitidos.
  2. Grave uma política que use a variável de origem de rede em uma condição.

1. Criar a Origem de Rede

Siga as instruções fornecidas para a Console ou a API para criar a origem de rede.

Uma única origem de rede pode incluir endereços IP de uma VCN específica, endereços IP públicos ou ambos.

Para especificar a VCN, você precisa do OCID da VCN e das faixas de IP de sub-rede que deseja permitir.

Exemplos:

  • Endereços IP públicos ou blocos CIDR: 192.0.2.143 ou 192.0.2.0/24
  • OCID da VCN: ocid1.vcn.oc1. iad.aaaaaaaaexampleuniqueID

    • Endereços IP de sub-rede ou blocos CIDR: 10.0.0.4, 10.0.0.0/16

      Para permitir qualquer endereço IP de uma VCN específica, use 0.0.0.0/0.

2. Gravar a Política

O serviço IAM inclui uma variável a ser usada na política que permite definir o escopo da sua política usando uma condição. A variável é:

request.networkSource.name

Depois de criar sua origem de rede, você poderá definir o escopo das políticas usando essa variável em uma condição. Por exemplo, suponha que você crie uma origem de rede chamada "corpnet". Você pode restringir os usuários do grupo "CorporateUsers" para acessar seus recursos do serviço Object Storage somente quando as solicitações deles forem provenientes de endereços IP especificados em corpnet. Para fazer isso, grave uma política da seguinte maneira: 

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

Esta política permite que os usuários do grupo do CorporateUsers gerenciem recursos do serviço Object Storage somente quando as solicitações deles se originarem de um endereço IP permitido especificado na origem de rede "corpnet". As solicitações feitas de fora das faixas de IP especificadas são negadas. Para obter informações gerais sobre a gravação de políticas, consulte Como as Políticas Funcionam.

Usando a Console para Gerenciar Origens de Rede

Para criar uma origem de rede
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Fontes de Rede. Uma lista das origens de rede na sua tenancy será exibida.
  2. Clique em Criar Origem de Rede.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para a origem de rede. O nome deve ser exclusivo na sua tenancy. Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
    • Descrição: Uma descrição amigável. Você poderá alterá-la posteriormente, se desejar.
    • Tipo de Rede: Selecione uma das seguintes opções:

      • Rede Pública: Informe um endereço IP específico ou uma faixa de blocos CIDR. Por exemplo: 192.0.2.143.

        Clique em Outro Endereço IP/Bloco CIDR para adicionar outro endereço ou faixa permitida.

      • Rede Virtual na Nuvem: Informe o seguinte para esta opção:

        • OCID da VCN: Informe o OCID da VCN que você deseja permitir.

          Por exemplo: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

        • Endereço IP/Bloco CIDR: Informe um endereço IP da VCN ou um bloco CIDR de sub-rede. Por exemplo: 10.0.0.0/16 ou 10.0.0.4.

          Se quiser permitir todas as sub-redes da VCN especificada, informe 0.0.0.0/0.

          Clique em Outro Endereço IP/Bloco CIDR para adicionar outro endereço ou faixa permitida da mesma VCN.

  4. Para adicionar mais faixas de IP a esta origem de rede, clique em Adicionar Origem.
  5. Mostrar Opções Avançadas: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  6. Clique em Criar.
Para atualizar uma origem de rede
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Fontes de Rede. Uma lista das origens de rede na sua tenancy será exibida.
  2. Localize a origem de rede na lista e clique no nome dela para ver seus detalhes.
  3. Edite a origem de rede:
    • Para adicionar mais endereços IP permitidos a esta origem de rede, clique em Adicionar Origens. Na caixa de diálogo Adicionar Origens, clique em Adicionar Origem novamente e informe os detalhes de cada endereço IP ou bloco CIDR que você deseja adicionar a essa origem de rede.
    • Para remover uma origem permitida, clique no menu Ações (Menu Ações) e clique em Excluir.
Para excluir uma origem de rede
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Grupos. A lista de origens de rede em sua tenancy é exibida.
  2. Localize a origem de rede na lista e clique no menu Ações (Menu Ações) do item.
  3. Clique em Excluir.
  4. Confirme quando solicitado.
Para aplicar tags a uma origem de rede

Para obter instruções, consulte Tags de Recursos.

Usando a API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API para gerenciar origens de rede:

Criando o Objeto de Origem de Rede

Um objeto de origem de rede de amostra é semelhante ao exemplo a seguir:

{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}

],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}

Os elementos são:

  • virtualSourceList - especifica a VCN (OCID) e as faixas de IP de sub-rede dentro dessa VCN que têm permissão de acesso. O virtualSourceList deve conter o OCID da VCN e as faixas de IP de sub-rede:
    • vcnID - o OCID da VCN
    • IpRanges - lista separada por vírgulas dos endereços IP ou blocos CIDR das sub-redes pertencentes à VCN especificada que podem acessar o recurso. Para permitir todas as faixas na VCN especificada, digite 0.0.0.0/0.
  • publicSourceList - lista separada por vírgulas das faixas de IP público que têm permissão de acesso.

Exemplo:

{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}