Go to Qiita Advent Calendar 2024 Top
LoginSignup
5
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@sugimount(sugi mount)

[Oracle Cloud] コンソールログインを IP アドレスで制限する

Posted at

はじめに

Oracle Cloud Infrastructure(以下OCI) のコンソールは、デフォルトではどこの IP アドレスからもログイン可能です。悪意をもったユーザのログインを防ぐための1つの方法で、IP アドレスで制限する設定があります。社内のネットワークからのみログインを許可させて、それ以外のIPアドレスからはアクセスを遮断できます。今回は、この設定方法を簡単に紹介します。

余談ですが、MFA を使ってさらにセキュリティを高める方法もお勧めです。OCI IAM User では、無料で MFA が使えるので、とりあえず設定しておくのも良いと思います。

それでは、IPアドレスの制限方法をご紹介します。

注意事項!

IPアドレスの範囲を間違って設定すると、管理者ユーザーでもログインが出来なくなります。間違って設定しても復旧出来るように、OCI CLI の実行環境を用意しておくのを強くお勧めします。OCI CLI を使うことで、コンソールログインを使わずに、IPアドレスのログイン制限を解除できます。

また、OCI CLI の設定も忘れて、どうしようもなくなった場合は、Support に連絡すると解除出来るようなことがドキュメントに書いてます。最後の手段で覚えておくとよいです。
https://docs.cloud.oracle.com/en-us/iaas/Content/Identity/Tasks/managingpasswordrules.htm#unique_1221096998

Network Source 作成

許可するIPアドレスの範囲を定義するために、Network Source を使います。Network Sources のメニューを選択します。

1602770604886.png

Create を押します。

1602770647425.png

この記事では、ログイン出来ないことを確認するために、Dummy のIPアドレス範囲を指定しています。本来は、社内ネットワークの Public IPアドレスを指定することになります。

1602822742182.png

作成完了しました。

1602822760654.png

ログインIPアドレス制限

次に、コンソールログインに関する、IP アドレス制限を有効化していきます。Authentication Settings を開きます。

1602770864941.png

Edit を押します。

1602770896445.png

定義した Network Source を選択した上で、Save を押します。
この手順を実行すると、Network Source で定義した IP アドレス以外はコンソールログイン出来なくなるので注意してください
設定をする前に、OCI CLI が動作することを確認することを強くお勧めします。

1602822805447.png

Login 失敗確認

はい、それではダミーの IP アドレスを入れていたので、実際にログインが失敗するか確認しましょう。ログイン画面で ID, Password を選択しても、赤文字で怒られてエラーになります。IAM User も IDCS User も両方ともログインが出来ません。

1602822877016.png

設定解除方法

それでは、間違って設定したときに解除する時の手順を確認していきましょう。OCI CLI が実行出来ることが必要です。

まず、現状の設定を確認します。network-source-ids で書かれている部分が、ログイン制限の箇所です。ここを解除していきます。

$ oci iam authentication-policy get
{
  "data": {
    "compartment-id": "ocid1.tenancy.oc1..aaaaaaaahysodjbc46bsbxjwtu4hcxos6uxhhldgeeq5yvw4vrwsdz34sfta",
    "network-policy": {
      "network-source-ids": [
        "ocid1.identitynetworksource.oc1..aaaaaaaaw7auxkeylvbbdpy6iegfqzfl6c6jggvdaq72cfafebpdo2axe3ca"
      ]
    },
    "password-policy": {
      "is-lowercase-characters-required": true,
      "is-numeric-characters-required": true,
      "is-special-characters-required": true,
      "is-uppercase-characters-required": true,
      "is-username-containment-allowed": false,
      "minimum-password-length": 8
    }
  },
  "etag": "695c2b0336c9375396286e514cf3584751927ea3"
}

設定解除コマンドです。

$ oci iam authentication-policy update --from-json '
{
  "force": true,
  "networkPolicy": {
    "networkSourceIds": []
  },
  "passwordPolicy": {
    "isLowercaseCharactersRequired": true,
    "isNumericCharactersRequired": true,
    "isSpecialCharactersRequired": true,
    "isUppercaseCharactersRequired": true,
    "isUsernameContainmentAllowed": false,
    "minimumPasswordLength": 8
  }
}'

確認すると空白になっています。

$ oci iam authentication-policy get
{
  "data": {
    "compartment-id": "ocid1.tenancy.oc1..aaaaaaaahysodjbc46bsbxjwtu4hcxos6uxhhldgeeq5yvw4vrwsdz34sfta",
    "network-policy": {
      "network-source-ids": []
    },
    "password-policy": {
      "is-lowercase-characters-required": true,
      "is-numeric-characters-required": true,
      "is-special-characters-required": true,
      "is-uppercase-characters-required": true,
      "is-username-containment-allowed": false,
      "minimum-password-length": 8
    }
  },
  "etag": "e247d3bcb6515b284fbf182fef51455c6c206473"
}

解除したことで、無事にログイン出来るようになりました。

1602824248284.png

参考URL

5
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?