Gestión de orígenes de red
En este tema, se describen los aspectos básicos sobre cómo se trabaja con orígenes de red.
Política de IAM necesaria
Si está en el grupo Administradores, tendrá el acceso necesario para gestionar orígenes de red. Para escribir políticas específicamente para orígenes de red, utilice el tipo de recurso network-sources, que se encuentra con el resto de componentes de IAM, en Detalles de IAM sin dominios de identidad.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.
Etiquetado de recursos
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Aplique las etiquetas al crear un recurso o actualice el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Introducción a los orígenes de red
Un origen de red es un juego de direcciones IP definidas. Las direcciones IP pueden ser públicas o de VCN de su arrendamiento. Después de crear el origen de red, puede hacer referencia a este en la política o en la configuración de autenticación de su arrendamiento para controlar el acceso en función de la dirección IP de origen.
Los orígenes de red solo se pueden crear en el arrendamiento (o compartimento raíz) y, al igual que otros recursos de IAM, residen en la región raíz. Para obtener información sobre el número de orígenes de red que puede tener, consulte IAM sin límites de dominios de identidad.
Puede utilizar orígenes de red para ayudar a proteger su arrendamiento de las siguientes maneras:
- Especifique el origen de red en la política de IAM para restringir el acceso a los recursos.
Cuando se especifica en una política, IAM valida que las solicitudes para acceder a un recurso de una dirección IP permitida.
Por ejemplo, puede restringir el acceso a los cubos de Object Storage en su arrendamiento solamente a los usuarios conectados a Oracle Cloud Infrastructure a través de su red corporativa. O bien, puede permitir que solo los recursos que pertenecen a subredes específicas de una VCN en concreto realicen solicitudes a través de un gateway de servicio.
- Especifique el origen de red en la configuración de autenticación de su arrendamiento para restringir la conexión a la consola.
Puede configurar la política de autenticación de su arrendamiento para permitir la conexión a la consola desde las direcciones IP especificadas en el origen de red. Se denegará el acceso a los usuarios que intenten conectarse desde una dirección IP no incluida en la lista permitida en el origen de red. Para obtener información sobre el uso de una restricción de origen de red en la política de autenticación, consulte Gestión de la configuración de autenticación.
Permitir el acceso a recursos solo desde las direcciones IP especificadas
Para restringir el acceso a solicitudes realizadas desde un conjunto de direcciones IP, realice lo siguiente:
- Cree un origen de red que especifique las direcciones IP permitidas.
- Escriba una política que utilice la variable de origen de red en una condición.
1. Crear el origen de red
Siga las instrucciones proporcionadas para la consola o la API para crear el origen de red.
Un único origen de red puede incluir direcciones IP de una VCN específica, direcciones IP públicas o ambas.
Para especificar la VCN, necesita el OCID de la VCN y los rangos de IP de subred que desea permitir.
Ejemplos:
- Direcciones IP públicas o bloques CIDR: 192.0.2.143 o 192.0.2.0/24
- OCID de VCN: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
Direcciones IP de subred o bloques CIDR: 10.0.0.4, 10.0.0.0/16
Para permitir cualquier dirección IP de una VCN específica, utilice 0.0.0.0/0.
2. Escribir la política
El servicio IAM incluye una variable que se puede utilizar en una política para restringirla con una condición. La variable es:
request.networkSource.name
Después de crear el origen de red, puede restringir las políticas usando esta variable en una condición. Por ejemplo, imagine que crea un origen de red que se llame "corpnet". Puede restringir a los usuarios del grupo "CorporateUsers" para que accedan a los recursos de Object Storage solamente cuando sus solicitudes procedan de direcciones IP especificadas en corpnet. Para ello, escriba una política como la siguiente:
allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'
Esta política permite a los usuarios del grupo CorporateUsers gestionar recursos de Object Storage solamente cuando sus solicitudes proceden de una dirección IP permitida especificada en el origen de red "corpnet". Se deniegan las solicitudes realizadas fuera de los rangos de IP especificados. Para obtener información general sobre la escritura de políticas, consulte Cómo funcionan las políticas.
Uso de la consola para gestionar orígenes de red
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Orígenes de red. Se mostrará una lista con los orígenes de red de su arrendamiento.
- Haga clic en Crear origen de red.
- Introduzca lo siguiente:
- Nombre: nombre único para el origen de red. El nombre debe ser único en el arrendamiento. No se puede cambiar más adelante. Evite introducir información confidencial.
- Descripción: una descripción fácil de recordar. Puede cambiar esto más tarde si lo desea.
- Tipo de red: seleccione una de las siguientes opciones:
Red pública: introduzca una dirección IP concreta o un rango de bloques CIDR. Por ejemplo: 192.0.2.143.
Haga clic en Otra dirección IP/bloque CIDR para agregar otra dirección o rango permitidos.
- Red virtual en la nube: introduzca lo siguiente para esta opción:
OCID de VCN: introduzca el OCID de la VCN que desea permitir.
Por ejemplo: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID
Dirección IP/bloque CIDR: introduzca una dirección IP de la VCN o un bloque CIDR de una subred. Por ejemplo: 10.0.0.0/16 o 10.0.0.4.
Si desea permitir todas las subredes de la VCN especificada, introduzca 0.0.0.0/0.
Haga clic en Otra dirección IP/bloque CIDR para agregar otra dirección o rango permitidos de la misma VCN.
- Para agregar más rangos de IP a este origen de red, haga clic en Agregar origen.
- Mostrar opciones avanzadas: Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
- Haga clic en Crear.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Orígenes de red. Se mostrará una lista con los orígenes de red de su arrendamiento.
- Localice el origen de red en la lista y haga clic en el nombre para ver los detalles.
- Edite el origen de red:
- Para agregar más direcciones IP permitidas a este origen de red, haga clic en Agregar orígenes. En el cuadro de diálogo Agregar orígenes, vuelva a hacer clic en Agregar origen e introduzca los detalles de cada dirección IP o bloque CIDR que desea agregar a este origen de red.
- Para eliminar un origen permitido, haga clic en el y en Suprimir.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Se mostrará una lista con los orígenes de red de su arrendamiento.
- Busque el origen de red en la lista y haga clic en el del elemento.
- Haga clic en Suprimir.
- Confirme cuando se le solicite.
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Use estas operaciones de API para gestionar orígenes de red:
Creación del objeto de origen de red
A continuación, se muestra un ejemplo de un objeto de origen de red:
{
"compartmentId" : "ocid1.tenancy.oc1..aaaaaaaabaexampleuniqueID",
"description" : "Corporate IP ranges to be used for IP-based authorization",
"name" : "corpnet",
"virtualSourceList": [
{"vcnId": "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}
],
"publicSourceList": [ "192.0.2.5", "192.0.2.6" ],
"services": ["all"]
]
}
Los elementos son:
virtualSourceList
: especifica la VCN (OCID) y los rangos de IP de subred dentro de dicha VCN a los que se permite el acceso.virtualSourceList
debe incluir el OCID de la VCN y los rangos de IP de la subred:vcnID
: el OCID de la VCNIpRanges
: lista de valores separados por comas con las direcciones IP o bloques CIDR de las subredes que pertenecen a la VCN especificada y que pueden acceder al recurso. Para permitir todos los rangos en la VCN especificada, introduzca 0.0.0.0/0.
publicSourceList
: lista de valores separados por comas con los rangos de IP públicas a los que se permite el acceso.
Ejemplo:
{
"virtualSourceList": [{vcnId: "ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID", "ipRanges": [ "129.213.39.0/24" ]}],
"publicSourceList": [ "192.0.2.0/25", "192.0.2.200" ]
}