セキュリティ・リストの作成
Compute Cloud@Customerで、VCNのセキュリティ・リストを作成できます。
セキュリティ・リストを作成する前に、デフォルト・セキュリティ・リストにすでに定義されているセキュリティ・ルールと、このVCNの他のセキュリティ・リストを表示します。セキュリティ・リストの表示を参照してください。
セキュリティ・リストには、少なくとも1つのルールが必要です。セキュリティ・リストにイングレス・ルールとエグレス・ルールの両方を含める必要はありません。
名前とタグに機密情報を入力しないでください。
-
Compute Cloud@Customerコンソールのナビゲーション・メニューで、「ネットワーキング」、「Virtual Cloud Networks」の順にクリックします。
- ページの上部で、サブネットを作成するVCNを含むコンパートメントを選択します。
-
セキュリティ・リストを作成するVCNの名前をクリックします。
「VCNの詳細」ページが表示されます。
-
「リソース」で、「セキュリティ・リスト」をクリックします
-
「セキュリティ・リストの作成」をクリックします。
-
「Create Security List」ダイアログ・ボックスで、次の情報を入力します。
-
名前:セキュリティ・リストの摘要名を入力します。この名前は一意である必要はありません。機密情報を入力しないでください。(名前はコンソールで後から変更することはできませんが、CLIを使用して変更できます)。
-
コンパートメントで作成:セキュリティ・リストを作成するコンパートメントを選択します。
-
-
少なくとも1つのルールを追加します。
1つ以上のイングレス・ルールを追加するには、「イングレスのルールを許可」ボックスの+Newルールをクリックします。次の情報を入力します:
-
ステートレス:新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルであり、リクエストとその調整されたレスポンスの両方に適用されます。
-
CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
-
IPプロトコル:ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。ドロップダウン・リストからプロトコルを選択します。
-
ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲と宛先ポート範囲を指定できます。
-
パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
-
-
説明: ルールの説明(オプション)。
-
-
タグ付け: (オプション)このリソースに1つ以上のタグを追加します。タグは後で適用することもできます。リソースのタグ付けの詳細は、リソース・タグを参照してください。
-
「セキュリティ・リストの作成」をクリックします。
新しいセキュリティ・リストの詳細ページが表示されます。このセキュリティ・リストは、サブネットの作成時または更新時に指定できます。
-
指定したVCNの新しいセキュリティ・リストを作成するには、oci network security-list createコマンドと必要なパラメータを使用します。
oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]CLIのコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
プロシージャ
-
コマンドを実行するために必要な情報を収集します。
-
このセキュリティ・リストを作成するコンパートメントのOCID (
oci iam compartment list) -
このセキュリティ・リストのVCNのOCID (
oci network vcn list --compartment-id compartment_OCID)
-
-
--ingress-security-rulesおよび--egress-security-rulesオプションの引数を構築します。セキュリティ・ルールはJSON形式です。ルールの書式設定方法を確認するには、次のコマンドを使用します。
oci network security-list create --generate-param-json-input ingress-security-rules > ingress.jsonegress-security-rulesと同じコマンドを使用します。イングレス・セキュリティ・ルールとエグレス・セキュリティ・ルールは同じですが、イングレス・ルールには
sourceおよびsourceTypeプロパティがあり、エグレス・ルールにはdestinationおよびdestinationTypeプロパティがあります。protocolプロパティの値は、allまたはICMPの場合は1、TCPの場合は6、UDPの場合は17のいずれかの番号です。または、デフォルトのセキュリティ・リストまたは別のセキュリティ・リストを
listまたはgetして、egress-security-rulesおよびingress-security-rulesプロパティの値をコピーできます。この新しいセキュリティ・リストのルールの情報を書式の適切な場所に配置するか、コピーしたルールの情報を置き換えます。
両方のルール・オプションの値は、一重引用符または
file://path_to_file.jsonとして指定されたファイルの間の文字列です。エグレスおよびイングレス・ルールはリストに存在する必要があります。エグレス・ルールのリストまたはイングレス・ルールのリストに含まれる項目が1つのみの場合は、複数のルールの場合と同様に、その単一のルールを大カッコで囲む必要があります。1つのイングレス・ルールのみを示す例は、次のステップのコマンドを参照してください。
エグレス・ルールとイングレス・ルールの両方を指定する必要があります。エグレス・ルールを表示しない例は、次のステップのコマンドを参照してください。
-
セキュリティ・リスト作成コマンドを実行します。
構文
例:
$ oci network security-list create --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \ --egress-security-rules [] \ --ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \ "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \ "sourcePortRange": {"max": 1521, "min": 1521}}}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "Limited Port Range", "egress-security-rules": [], "freeform-tags": {}, "id": "ocid1.securitylist.unique_ID", "ingress-security-rules": [ { "description": null, "icmp-options": null, "is-stateless": true, "protocol": "6", "source": "10.0.2.0/24", "source-type": "CIDR_BLOCK", "tcp-options": { "destination-port-range": { "max": 1521, "min": 1521 }, "source-port-range": { "max": 1521, "min": 1521 } }, "udp-options": null } ], "lifecycle-state": "PROVISIONING", "time-created": "unique_ID", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "unique_ID" }
-
CreateSecurityList操作を使用して、指定したVCNの新しいセキュリティ・リストを作成します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。