指定されたIPアドレスのみからのリソースへのアクセスを許可

1. ネットワーク・ソースの作成

コンソールまたはAPIで示される手順に従って、ネットワーク・ソースを作成します。

1つのネットワーク・ソースには、特定のVCNからのIPアドレス、またはパブリックIPアドレス(あるいはその両方)を含めることができます。

VCNを指定するには、許可するVCN OCIDおよびサブネットIP範囲が必要です。

例:

• パブリックIPアドレスまたはCIDRブロック: 192.0.2.143または192.0.2.0/24
• VCN OCID: ocid1.vcn.oc1.iad.aaaaaaaaexampleuniqueID

  • サブネットIPアドレスまたはCIDRブロック: 10.0.0.4、10.0.0.0/16

    特定のVCNからのIPアドレスを許可するには、0.0.0.0/0を使用します。

2. ポリシーの記述

IAMサービスにはポリシーで使用する変数が含まれており、これにより、条件を使用してポリシーのスコープを設定できます。変数:

request.networkSource.name

ネットワーク・ソースを作成した後、条件内でこの変数を使用して、ポリシーのスコープを設定できます。たとえば、「corpnet」という名前のネットワーク・ソースを作成するとします。グループ「CorporateUsers」のユーザーを、corpnetに指定されたIPアドレスからリクエストを発行したときにのみオブジェクト・ストレージ・リソースにアクセスできるように制限できます。これを行うには、次のようなポリシーを記述します:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

このポリシーを使用すると、CorporateUsersグループのユーザーは、ネットワーク・ソース「corpnet」で指定された許可されるIPアドレスからリクエストを発行したときにのみオブジェクト・ストレージ・リソースを管理できます。指定したIP範囲外部から行われたリクエストは拒否されます。ポリシーの記述に関する一般的な情報は、ポリシーの仕組みを参照してください。