OCI コンソールの接続元IPアドレスの制限とCLIからの解除
目次
やること
- OCIコンソールにログインを許可する接続元のIPアドレスを制限
- 接続元IP制限で誤ってコンソールログインできなくなってしまった場合の制限解除
接続元の制限
ネットワーク・ソースの作成
ネットワーク・ソースに遷移
ネットワーク・ソースの作成
項目を入力して作成を押下します。
- OCI以外からのアクセスを許可する場合は、接続元のCIDRブロックを指定します。(パブリックIP)
認証設定
- 「認証設定」に遷移します。
- 認証設定の編集
- 作成したネットワーク・ソースを選択し保存します。
接続確認
一度ログアウトし、ネットワークを切り替えてログインを試みます。
- 認証設定の管理 ネットワーク・ソース制限に対する変更が有効になるタイミング
ネットワーク・ソース制限が定義されると、コンソールにサインインしているユーザーは現在のセッションを続行できますが、サインアウト後、次回サインインしようとしたときにネットワーク制限が適用されます。
制限解除
- 「事前設定」、「事前確認」については「接続元の制限」を行う前にやっておきましょう。
※環境変数$tenant_idも事前に設定しています。
事前設定
- APIキーの設定が行われていることを確認します。
OCICLIの初期設定時に設定されているはずです。
「プロファイル」メニュー から「ユーザー設定」→「APIキー」タブを選択し、
OCICLIの初期設定で設定したキーが表示されていれば問題ありません。
事前確認
- ネットワーク・リソースを設定する前の設定を確認しておきます。
$ oci iam authentication-policy get --compartment-id $tenant_id { "data": { "compartment-id": "ocid1.tenancy.oc1.****", "network-policy": { "network-source-ids": [] }, "password-policy": { "is-lowercase-characters-required": true, "is-numeric-characters-required": true, "is-special-characters-required": true, "is-uppercase-characters-required": true, "is-username-containment-allowed": false, "minimum-password-length": 8 } }, "etag": "bea7c39e38d4ee6176c31bcbdae9b955e97fdc68" }
OCICLIから制限解除
- では実際に解除します。
input.json で使用するフォーマットを確認します。
$ oci iam authentication-policy update --compartment-id $tenant_id --generate-full-command-json-input { "compartmentId": "string", "force": true, "ifMatch": "string", "networkPolicy": { "networkSourceIds": [ "string", "string" ] }, "passwordPolicy": { "isLowercaseCharactersRequired": true, "isNumericCharactersRequired": true, "isSpecialCharactersRequired": true, "isUppercaseCharactersRequired": true, "isUsernameContainmentAllowed": true, "minimumPasswordLength": 0 } }
- 上記をもとにinput.jsonを作成します。今回は以下の様にします。
$ cat input.json { "compartmentId": "ocid1.tenancy.oc1..****", "force": true, "networkPolicy": { "networkSourceIds": [] }, "passwordPolicy": { "isLowercaseCharactersRequired": true, "isNumericCharactersRequired": true, "isSpecialCharactersRequired": true, "isUppercaseCharactersRequired": true, "isUsernameContainmentAllowed": false, "minimumPasswordLength": 8 } }
- 以下を実行し、ネットワーク・ソースの設定を解除します
$ oci iam authentication-policy update --compartment-id $tenant_id --from-json file://input.json $ oci iam authentication-policy get --compartment-id $tenant_id