セキュリティ・リストの作成
Roving Edgeデバイスでは、VCNのセキュリティ・リストを作成できます。
セキュリティ・リストを作成する前に、デフォルト・セキュリティ・リストにすでに定義されているセキュリティ・ルールと、このVCNのその他のセキュリティ・リストを表示します。セキュリティ・リストの表示を参照してください。
セキュリティ・リストには、少なくとも1つのルールが必要です。セキュリティ・リストには、イングレス・ルールとエグレス・ルールの両方を含める必要はありません。
名前とタグに機密情報を入力しないでください。
-
「Roving Edge Device Console」ナビゲーション・メニューで、「ネットワーキング」、「Virtual Cloud Networks」の順に選択します。
- ページの上部で、サブネットを作成するVCNを含むコンパートメントを選択します。
-
セキュリティ・リストを作成するVCNの名前を選択します。
VCNの詳細ページが表示されます。
-
「リソース」で、「セキュリティ・リスト」を選択します。
-
「セキュリティ・リストの作成」を選択します。
-
「Create Security List」ダイアログボックスで、次の情報を入力します。
-
名前:セキュリティ・リストのわかりやすい名前を指定します。この名前は一意である必要はありません。機密情報を入力しないでください。(この名前は、あとでデバイスコンソールで変更することはできませんが、CLIで変更できます)。
-
コンパートメントに作成:セキュリティ・リストを作成するコンパートメントを選択します。
-
-
少なくとも1つのルールを追加してください。
1つ以上のイングレス・ルールを追加するには、+Newルールを「イングレスのルールの許可」ボックスで選択します。次の情報を入力します:
-
ステートレス:新しいルールをステートレスにする場合は、このボックスを選択します。デフォルトでは、セキュリティ・リスト・ルールはステートフルで、リクエストとその調整されたレスポンスの両方に適用されます。
-
CIDR: イングレスまたはエグレス・トラフィックのCIDRブロック。
-
IPプロトコル:ルールは、すべてのIPプロトコル、またはICMP、TCP、UDPなどの選択肢に適用できます。プロトコルをドロップダウンリストから選択します。
-
ポート範囲: TCPやUDPなどの一部のプロトコルでは、ソース・ポート範囲と宛先ポート範囲を指定できます。
-
パラメータ・タイプおよびコード: ICMPの場合、パラメータ・タイプおよび対応するパラメータ・コードを選択できます。
-
-
説明:ルールの説明(オプション)。
-
-
タグ付け: (オプション)このリソースのタグを追加します。タグは後で適用することもできます。リソース・タグの使用(デバイスでのIAM)を参照してください。
-
「セキュリティ・リストの作成」を選択します。
新しいセキュリティ・リストの詳細ページが表示されます。サブネットの作成時または更新時に、このセキュリティ・リストを指定できます。
-
指定されたVCNの新しいセキュリティ・リストを作成するには、oci network security-list createコマンドと必要なパラメータを使用します。
oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]CLIコマンド、フラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。
プロシージャ
-
コマンドを実行するために必要な情報を収集します。
-
このセキュリティ・リストを作成するコンパートメントのOCID (
oci iam compartment list) -
このセキュリティ・リストのVCNのOCID (
oci network vcn list --compartment-id compartment_OCID)
-
-
--ingress-security-rulesおよび--egress-security-rulesオプションの引数を構築します。セキュリティ・ルールはJSON形式です。ルールのフォーマット方法を確認するには、次のコマンドを使用します。
oci network security-list create --generate-param-json-input ingress-security-rules > ingress.jsonegress-security-rulesと同じコマンドを使用します。イングレス・ルールとエグレス・セキュリティ・ルールは同じですが、イングレス・ルールには
sourceおよびsourceTypeプロパティがあり、エグレス・ルールにはdestinationおよびdestinationTypeプロパティがあります。protocolプロパティの値は、allまたはICMPの場合は1、TCPの場合は6、UDPの場合は17のいずれかです。または、デフォルトのセキュリティ・リストまたは別のセキュリティ・リストを
listまたはgetし、egress-security-rulesおよびingress-security-rulesプロパティの値をコピーできます。この新しいセキュリティ・リストのルールの情報を適切な場所にフォーマットするか、コピーしたルールの情報を置換します。
両方のルール・オプションの値は、一重引用符または
file://path_to_file.jsonとして指定されたファイルの間の文字列です。エグレス・ルールおよびイングレス・ルールがリストに含まれている必要があります。エグレス・ルールのリストまたはイングレス・ルールのリストに1つのアイテムのみが含まれる場合、その1つのルールは複数のルールと同じように大カッコで囲む必要があります。イングレス・ルールが1つのみ表示されている例は、次のステップのコマンドを参照してください。
エグレス・ルールとイングレス・ルールの両方を指定する必要があります。エグレス・ルールが表示されない例は、次のステップのコマンドを参照してください。
-
セキュリティ・リスト作成コマンドを実行します。
構文:
例:
$ oci network security-list create --compartment-id ocid1.compartment.unique_ID \ --vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \ --egress-security-rules [] \ --ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \ "tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \ "sourcePortRange": {"max": 1521, "min": 1521}}}]' { "data": { "compartment-id": "ocid1.compartment.unique_ID", "defined-tags": {}, "display-name": "Limited Port Range", "egress-security-rules": [], "freeform-tags": {}, "id": "ocid1.securitylist.unique_ID", "ingress-security-rules": [ { "description": null, "icmp-options": null, "is-stateless": true, "protocol": "6", "source": "10.0.2.0/24", "source-type": "CIDR_BLOCK", "tcp-options": { "destination-port-range": { "max": 1521, "min": 1521 }, "source-port-range": { "max": 1521, "min": 1521 } }, "udp-options": null } ], "lifecycle-state": "PROVISIONING", "time-created": "unique_ID", "vcn-id": "ocid1.vcn.unique_ID" }, "etag": "unique_ID" }
-
CreateSecurityList操作を使用して、指定されたVCNの新しいセキュリティ・リストを作成します。
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。