소개

어제, 2020년 2월 28일, Oracle Cloud Infrastructure(이하 OCI)에 Network Source라는 개념이 추가되었습니다. 릴리스 노트는 여기입니다.

Network Source를 자세히 설명합니다. OCI의 다양한 리소스에 대한 작업에 대한 액세스 가능한 네트워크를 제한하는 메커니즘입니다. 예를 들어, 사내의 NW에서만 자원으로의 조작을 제한할 수 있습니다. 이것에 의해, 한층 더 시큐리티 향상을 할 수 있게 되었습니다.

Network Source는 OCI IAM에 추가된 개념입니다. OCI IAM에서 액세스 가능한 네트워크에 대한 정보를 정의한 다음 OCI IAM Policy로 제어하는 ​​메커니즘입니다.

문장만으로는 이해하기 어렵기 때문에, 어떤 거동이 되는지 확인해 보았습니다.

제한 사항 : 2020 년 3 월 1 일 현재 지원되는 리소스는 Object Storage뿐입니다. 앞으로 점점 대응 자원이 늘어나고 있어, 보다 편리하게 되어 가는 것이 아닐까 생각합니다

IAM Group, User 구성

IAM Policy에서 제어하는 ​​메커니즘을 위해 동작 확인을 위해 IAM 사용자와 그룹을 적절하게 생성합니다. group01에 user01이 속하도록 적절하게 만듭니다.

Group : group01

user : user01

Network Sources 만들기

OCI IAM 아래에 Network Sources가 추가되었습니다. 이것을 클릭합니다.



매개변수를 입력합니다.

name : networksource01

Network Type은 2종류 중에서 선택할 수 있습니다.

Virtual Cloud Network : VCN을 지정할 수 있습니다.

Public Network : 인터넷상의 Public 네트워크를 지정할 수 있습니다.

이번에는 집에서 액세스하므로 Public Network를 지정하고 집의 Public IP를 지정해 보겠습니다. 집의 Public IP는 확인군 등으로 적당히 조사합니다.



Network Source의 상세 화면은 이런 느낌입니다

IAM Policy

IAM Policy에서 Network Source를 지정합니다. 현재 Object Storage 만 지원하므로 다음과 같이 설정합니다.

allow group group01 to manage object-family in tenancy where request.networkSource.name='networksource01'

해당 사용자로 액세스 테스트

Network Source에 지정된 네트워크에서 액세스하면 Object Storage 화면이 표시됩니다.



네트워크 소스를 올바른 주소에서 적절하게 사용하지 않는 주소로 변경해 보겠습니다.



그러면 Object Storage가 더 이상 표시되지 않습니다.Network Source가 올바르게 작동하고 있음을 알 수 있습니다. 특정 네트워크가 아니면 표시 할 수 없었습니다.

요약

Network Source의 움직임을 확인할 수 있었습니다. Document를 보는 것만으로는 지금 이해하기 어려운 부분이 있었지만, IAM Policy의 제어 속에서, Network Source를 이용할 수 있다고 생각하면 알기 쉽네요. 지금은 아직 Object Storage 밖에 사용할 수 없습니다만, 향후의 진화를 기대하고 있습니다.

참고 URL