IP訪問列表賬戶控製台
預覽
這個特性是在公共預覽。
企業使用雲SaaS應用程序需要限製自己的員工。認證有助於證明用戶身份,但這並不執行網絡位置的用戶。從一個不安全的網絡訪問雲服務可以對企業構成安全風險,特別是當用戶授權訪問敏感數據或個人數據。企業網絡周邊應用安全策略和限製訪問外部服務(例如,防火牆、代理、DLP和日誌記錄),所以訪問超出這些控件被認為是不可信的。
假設一個醫院管理訪問磚賬戶控製台從一台筆記本電腦。如果員工從辦公室走到咖啡店的筆記本電腦,醫院可以阻止磚賬戶控製台連接即使他們有正確的憑證。
您可以配置數據磚,這樣賬戶所有者和管理員帳戶連接到賬戶控製台隻有通過現有的企業網絡安全的周長。IP訪問列表賬戶控製台允許您定義一組通過IP地址。所有傳入訪問web應用程序和REST api需要授權用戶連接從一個IP地址。
如果內部VPN網絡授權,員工遠程或旅行可以使用VPN連接到公司網絡,進而使控製台訪問帳戶。賬戶管理員必須管理IP訪問列表分別為個人賬戶控製台和工作區。對於工作區IP訪問列表,看看IP訪問列表工作區。
賬戶管理員可以禁用帳戶控製台IP訪問列表使用一個帳戶控製台設置。沒有API來在一個請求中禁用多個IP訪問列表,此設置,但是您可以使用API來禁用帳戶控製台的每個IP訪問列表API請求分開。
請注意
磚對AWS PrivateLink的支持隻影響用戶訪問工作區,而不是帳戶管理控製台訪問帳戶。
靈活的配置
IP訪問列表特性靈活:
你的帳戶管理員設置公共互聯網上的IP地址允許訪問。這就是所謂的允許列表。允許多個IP地址明確或作為整個子網(例如
216.58.195.78/28)。您的帳戶管理員可以指定IP地址或子網阻止即使它們包含在允許列表中。這就是所謂的塊列表。您可以使用這個功能如果允許IP地址範圍包括一個小範圍的基礎設施以外的IP地址,在實踐中是實際的安全的網絡邊界。
您的帳戶管理員可以使用賬戶控製台界麵或REST API來更新允許列表並阻止列表。
功能細節
賬戶IP訪問列表特性使磚帳戶管理員配置IP允許列表並阻止列表賬戶控製台。如果禁用該特性,允許所有訪問您的帳戶的帳戶控製台。支持允許列表(包含)和塊列表(排除)。
當一個連接嚐試:
首先檢查所有塊列表。如果連接IP地址匹配任何塊列表,連接將被拒絕。
如果連接沒有被阻止列表與允許相比,IP地址列表。如果至少有一個帳戶控製台允許列表,連接隻允許如果IP地址匹配一個允許列表。如果沒有允許列表的帳戶控製台,允許所有IP地址。
對於所有允許列表並阻止列表結合,賬戶控製台支持最多1000個IP / CIDR值,其中一個CIDR計數作為一個值。
更改後的IP訪問列表的功能,它可以花幾分鍾更改生效。
使用帳戶控製台界麵
作為一個賬戶管理、賬戶控製台。
在側邊欄中,單擊設置。
在安全選項卡上,單擊IP訪問列表。
默認情況下,新賬戶控製台IP訪問列表在幾分鍾內生效。賬戶管理員可以禁用或啟用IP訪問列表通過單擊帳戶控製台啟用按鈕。禁用該特性意味著所有現有允許忽略列表或阻止列表和所有IP地址可以訪問您的帳戶的帳戶控製台。禁用它不影響IP訪問列表工作區。
添加一個IP訪問列表
作為一個賬戶管理、賬戶控製台。
在側邊欄中,單擊設置。
在安全選項卡上,單擊IP訪問列表。
點擊添加規則。
是否要做一個選擇允許或塊列表。
在標簽領域,添加一個人類可讀的標簽。
添加一個或多個IP地址或CIDR IP範圍,用逗號分隔。
點擊添加規則。
使用API
本文討論了最常見的任務可以執行的API。完整的REST API參考,請參閱API參考部分IP訪問列表帳戶控製台。
了解這樣一個戶頭級別數據磚API認證,明白了如何使用API的賬戶嗎。
本文中描述的基本路徑端點https:// <帳戶域> / api / 2.0,在那裏<帳戶域>是accounts.cloud.www.eheci.com。
添加一個IP訪問列表
添加一個IP訪問列表中,調用添加一個知識產權訪問列表API (帖子/賬戶/ <帳戶id > / ip-access-lists)。
在JSON請求體中,指定:
標簽——標簽列表。list_type——要麼允許(允許列表)或塊(一塊列表,這意味著排除即使在允許列表中)。ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。
響應是一個複製的對象,你通過了,但是有一些額外的字段,最重要的是list_id字段。你可能想要保存價值,這樣你就可以更新或刪除列表。如果你不保存它,你仍然能夠得到全套的ID後通過查詢IP的訪問列表得到請求/賬戶/ <帳戶id > / ip-access-lists端點。
例如,添加一個允許列表:
curl - x - n後\https:// <帳戶域> / api / 2.0 /預覽/賬戶/ <帳戶id > / ip-access-lists - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'
示例響應:
{“ip_access_list”:{“list_id”:“< list-id >”,“標簽”:“辦公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允許”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“啟用”:真正的}}
一塊添加到列表,但是做同樣的事情list_type設置為塊。
更新一個IP訪問列表
更新一個IP訪問列表:
調用
列表所有知識產權訪問列表API (得到/賬戶/ <帳戶id > / ip-access-lists),並找到您想要更新的ID列表。調用
更新一個知識產權訪問列表API (補丁/賬戶/ <帳戶id > / ip-access-lists / < list-id >)。
在JSON請求體中,指定至少更新下列值之一:
標簽——標簽列表。list_type——要麼允許(允許列表)或塊(塊列表,這意味著排除即使在允許列表中)。ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。啟用——指定是否啟用這個列表。通過真正的或假。
響應你傳入的對象的一個副本附加字段ID和修改日期。
例如,禁用列表:
curl - x片- n\https: / <帳戶域> / api / 2.0 /預覽/賬戶/ <帳戶id > / ip-access-lists / < list-id > - d”{“啟用”:“false”}’
替換一個IP訪問列表
替換一個IP訪問列表:
調用
列表所有知識產權訪問列表API (得到/賬戶/ <帳戶id > / ip-access-lists),並找到你想替換的ID列表。調用
取代一個知識產權訪問列表API (把/賬戶/ <帳戶id > / ip-access-lists / < list-id >)。
在JSON請求體中,指定:
標簽——標簽列表。list_type——要麼允許(允許列表)或塊(塊列表,這意味著排除即使在允許列表中)。ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。啟用——指定是否啟用這個列表。通過真正的或假。
響應你傳入的對象的一個副本附加字段ID和修改日期。
例如,指定列表的內容替換為以下值:
curl - x將- n\https:// <帳戶域> / api / 2.0 /預覽/賬戶/ <帳戶id > / ip-access-lists / < list-id > - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“啟用”:“假”}'