はじめに
一昨日、2020年2月28日に、Oracle Cloud Infrastructure(以下OCI) に、Network Source という概念が追加されました。リリースノートはこちらです。
Network Source をざっくり説明します。OCI 上の様々なリソースへの操作について、アクセス可能なネットワークを制限する仕組みです。例えば、社内のNWからのみリソースへの操作を制限することが出来ます。これによって、更なるセキュリティ向上が出来るようになりました。
Network Source は、OCI IAM に追加された概念になります。OCI IAM 上で、アクセス可能なネットワークの情報を定義した上で、OCI IAM の Policy でコントロールする仕組みです。
文章だけではわかりにくいので、どういう挙動になるのか確認してみました。
制限事項 : 2020年3月1日時点で、対応しているリソースは、Object Storage のみです。今後どんどん対応リソースが増えていって、より便利になっていくのではないかなと思っています
IAM Group, User の構成
IAM の Policy で制御する仕組みのため、動作確認のために適当に IAM ユーザーと グループを作成します。group01 に、user01 が所属するように、適当に作ります。
- Group : group01
- user : user01
Network Sources の作成
OCI IAM の配下に、Network Sources が追加されています。これをクリックします。
パラメータを入力します。
- name :
networksource01
Network Type は 2種類から選べます。
- Virtual Cloud Network : VCN を指定できます。
- Public Network : インターネット上の Public なネットワークを指定できます。
今回は自宅からアクセスするので、Public Network を指定して、自宅の Public IP を指定してみます。自宅の Public IP は確認くんなどで適当に調べます。
Network Source の詳細画面はこんな感じです
IAM Policy
IAM Policy の中で、Network Source を指定します。現時点では、Object Storage しか対応していないため、以下のように設定します
allow group group01 to manage object-family in tenancy where request.networkSource.name='networksource01'
該当ユーザーでアクセステスト
Network Source で指定されているネットワークからアクセスした時は、Object Storage の画面が表示されています
Network Source を、正しいものから適当に使わないアドレスに変更してみます
そうすると、Object Storage が表示されなくなりました。Network Source が正しく動作していることが分かりますね。特定のネットワークからでないと、表示することが出来ませんでした。
まとめ
Network Source の動きを確認することが出来ました。Document を見るだけだといまいちわかりにくい部分がありましたが、IAM Policy の制御の中で、Network Source を利用することが出来ると考えるとわかりやすいですね。今はまだ Object Storage しか使えませんが、今後の進化を期待しています。
参考 URL