IBM Cloud Docs
Restricción del acceso por contexto de red

Restricción del acceso por contexto de red

Las restricciones basadas en contexto proporcionan una forma para que los administradores limiten el acceso a los recursos. ¿Qué ocurre si solo se debe acceder a determinados datos desde redes de confianza? Una política configurada correctamente restringe todo el acceso a los datos a menos que la solicitud se origine en una zona de red aprobada y un tipo de punto final (público, privado o directo).

Esta característica no está soportada actualmente en Object Storage para Satellite. Más información.

Utilización de restricciones basadas en contexto

Una restricción basada en contexto se compone de una regla y uno o varios contextos (zonas de red y/o tipo de punto final). Estas restricciones no sustituyen a las políticas de IAM, sino que simplemente comprueban que una solicitud procede de un contexto permitido, como un rango de direcciones IP, VPC o referencias de servicio.

Un usuario debe tener el rol Administrator en un servicio para crear, actualizar o suprimir reglas. Un usuario debe tener el rol Editor o Administrator para crear, actualizar o suprimir zonas de red.

Las restricciones basadas en contexto no dan soporte a la aplicación de reglas de restricciones basadas en contexto a objetos o carpetas específicos, sólo a nivel de grupo.

Puede obtener más información sobre cómo funcionan las restricciones basadas en contexto en la documentación detallada, o puede seguir una guía de aprendizaje rápida.

Los sucesos de registro de auditoría generados provendrán del servicio de restricciones basadas en contexto y no de Object Storage.

Si no hay reglas aplicables a un recurso determinado, el acceso lo determinan las políticas de IAM y la presencia de un cortafuegos de grupo heredado.

Las restricciones basadas en contexto sólo se aplican a nivel de grupo y no a objetos o carpetas específicos.

Una cuenta está limitada en el número de reglas y zonas de red que se pueden soportar.

Cortafuegos de grupo frente a restricciones basadas en contexto

Antes de la disponibilidad de restricciones basadas en contexto, el propio Object Storage impondría restricciones de acceso basadas en direcciones IP. Aunque este método sigue estando soportado, se recomienda utilizar las restricciones basadas en contexto más recientes en lugar del cortafuegos de grupo heredado.

Los cortafuegos de grupo y las restricciones basadas en contexto funcionan independientemente entre sí, lo que significa que es posible tener una solicitud permitida por uno y denegada por el otro.

  • Las solicitudes de creación de grupo deben estar permitidas por cualquier restricción basada en contexto.
  • Para todas las demás solicitudes de grupo u objeto, tanto las restricciones basadas en contexto como el cortafuegos de grupo deben permitir la solicitud.

El cortafuegos de grupo puede seguir denegando una dirección IP permitida por restricciones basadas en contexto.

Acerca de los cortafuegos de grupo heredados

Hay algunas reglas relacionadas con la configuración de un cortafuegos:

  • Un usuario que configura o que visualiza un cortafuegos debe tener el rol de Manager en el grupo.
  • Un usuario con el rol de Manager sobre el grupo puede ver y editar la lista de direcciones IP permitidas desde cualquier dirección IP para evitar bloqueos accidentales.
  • La consola de Object Storage puede seguir accediendo al grupo, siempre y cuando la dirección IP del usuario tenga autorización.
  • Otros servicios de IBM Cloud no tienen autorización para eludir el cortafuegos. Esta limitación significa que otros servicios que se basan en políticas de IAM para el acceso al grupo (como Aspera, SQL Query, Security Advisor, Watson Studio, Cloud Functions y otros) no podrán hacerlo.

Cuando se establece un cortafuegos, el grupo queda aislado del resto de IBM Cloud. Tenga en cuenta la forma en que esto puede afectar a las aplicaciones y a los flujos de trabajo que dependen de otros servicios que acceden directamente a un grupo antes de habilitar el cortafuegos. Esto se puede evitar utilizando referencias de servicio y restricciones basadas en contexto en su lugar.

El acceso desde un entorno de VPC puede pasar comprobaciones de allowed_network_type y las direcciones IP subyacentes de zona de VPC se pueden añadir a la lista allowed_ip. No es posible restringir el acceso a una IP de superposición para una VSI de VPC individual o un servidor nativo.

En primer lugar, asegúrese de que tiene una instancia de Object Storage y de que ha suministrado al menos un grupo. Si no es así, siga la guía de aprendizaje de iniciación para obtener los requisitos previos y familiarizarse con la consola.

Establecer una lista de direcciones IP autorizadas utilizando un cortafuegos heredado

  1. Empiece seleccionando Almacenamiento para ver la lista de recursos.
  2. A continuación, seleccione la instancia de servicio con el grupo desde el menú Almacenamiento. Esto le lleva a la consola de Object Storage.
  3. Elija el grupo al que desea limitar el acceso a las direcciones IP autorizadas.
  4. Seleccione Políticas de acceso en el menú de navegación.
  5. Seleccione el separador IP autorizadas.
  6. Pulse Añadir direcciones IP y luego seleccione Añadir.
  7. Especifique una lista de direcciones IP en notación CIDR, por ejemplo 192.168.0.0/16, fe80:021b::0/64. Las direcciones pueden seguir los estándares IPv4 o IPv6.
  8. Pulse Añadir.
  9. El cortafuegos no se aplicará hasta que se guarde la dirección en la consola. Pulse Guardar todo para aplicar el cortafuegos.
  10. Tenga en cuenta que todos los objetos de este grupo sólo son accesibles desde esas direcciones IP.

Eliminar cualquier restricción de dirección IP utilizando un cortafuegos heredado

  1. En el separador IP autorizadas, marque los recuadros que hay junto a las direcciones IP o rangos que se deben eliminar de la lista autorizada.
  2. Seleccione Suprimir y luego confirme el recuadro de diálogo pulsando de nuevo Suprimir.
  3. La lista actualizada no se aplicará hasta que los cambios se guarden en la consola. Pulse Guardar todo para aplicar las nuevas reglas.
  4. Ahora todos los objetos de este grupo sólo son accesibles desde estas direcciones IP.

Si no hay ninguna dirección IP autorizada listada, esto significa que las políticas de IAM normales se aplicarán al grupo, sin restricciones en la dirección IP del usuario, a menos que existan restricciones basadas en contexto.

Establecer un cortafuegos heredado a través de una API

Los cortafuegos se gestionan con la API de configuración de recursos de COS. Esta nueva API REST se utiliza para configurar grupos.

Los usuarios con el rol de manager pueden ver y editar la lista de direcciones IP permitidas desde cualquier red con el fin de evitar bloqueos accidentales.