IP访问列表账户控制台
预览
这个特性是在公共预览。
企业使用云SaaS应用程序需要限制自己的员工。认证有助于证明用户身份,但这并不执行网络位置的用户。从一个不安全的网络访问云服务可以对企业构成安全风险,特别是当用户授权访问敏感数据或个人数据。企业网络周边应用安全策略和限制访问外部服务(例如,防火墙、代理、DLP和日志记录),所以访问超出这些控件被认为是不可信的。
假设一个医院管理访问砖账户控制台从一台笔记本电脑。如果员工从办公室走到咖啡店的笔记本电脑,医院可以阻止砖账户控制台连接即使他们有正确的凭证。
您可以配置数据砖,这样账户所有者和管理员帐户连接到账户控制台只有通过现有的企业网络安全的周长。IP访问列表账户控制台允许您定义一组通过IP地址。所有传入访问web应用程序和REST api需要授权用户连接从一个IP地址。
如果内部VPN网络授权,员工远程或旅行可以使用VPN连接到公司网络,进而使控制台访问帐户。账户管理员必须管理IP访问列表分别为个人账户控制台和工作区。对于工作区IP访问列表,看看IP访问列表工作区。
账户管理员可以禁用帐户控制台IP访问列表使用一个帐户控制台设置。没有API来在一个请求中禁用多个IP访问列表,此设置,但是您可以使用API来禁用帐户控制台的每个IP访问列表API请求分开。
请注意
砖对AWS PrivateLink的支持只影响用户访问工作区,而不是帐户管理控制台访问帐户。
灵活的配置
IP访问列表特性灵活:
你的帐户管理员设置公共互联网上的IP地址允许访问。这就是所谓的允许列表。允许多个IP地址明确或作为整个子网(例如
216.58.195.78/28)。您的帐户管理员可以指定IP地址或子网阻止即使它们包含在允许列表中。这就是所谓的块列表。您可以使用这个功能如果允许IP地址范围包括一个小范围的基础设施以外的IP地址,在实践中是实际的安全的网络边界。
您的帐户管理员可以使用账户控制台界面或REST API来更新允许列表并阻止列表。
功能细节
账户IP访问列表特性使砖帐户管理员配置IP允许列表并阻止列表账户控制台。如果禁用该特性,允许所有访问您的帐户的帐户控制台。支持允许列表(包含)和块列表(排除)。
当一个连接尝试:
首先检查所有块列表。如果连接IP地址匹配任何块列表,连接将被拒绝。
如果连接没有被阻止列表与允许相比,IP地址列表。如果至少有一个帐户控制台允许列表,连接只允许如果IP地址匹配一个允许列表。如果没有允许列表的帐户控制台,允许所有IP地址。
对于所有允许列表并阻止列表结合,账户控制台支持最多1000个IP / CIDR值,其中一个CIDR计数作为一个值。
更改后的IP访问列表的功能,它可以花几分钟更改生效。
使用帐户控制台界面
作为一个账户管理、账户控制台。
在侧边栏中,单击设置。
在安全选项卡上,单击IP访问列表。
默认情况下,新账户控制台IP访问列表在几分钟内生效。账户管理员可以禁用或启用IP访问列表通过单击帐户控制台启用按钮。禁用该特性意味着所有现有允许忽略列表或阻止列表和所有IP地址可以访问您的帐户的帐户控制台。禁用它不影响IP访问列表工作区。
添加一个IP访问列表
作为一个账户管理、账户控制台。
在侧边栏中,单击设置。
在安全选项卡上,单击IP访问列表。
点击添加规则。
是否要做一个选择允许或块列表。
在标签领域,添加一个人类可读的标签。
添加一个或多个IP地址或CIDR IP范围,用逗号分隔。
点击添加规则。
使用API
本文讨论了最常见的任务可以执行的API。完整的REST API参考,请参阅API参考部分IP访问列表帐户控制台。
了解这样一个户头级别数据砖API认证,明白了如何使用API的账户吗。
本文中描述的基本路径端点https:// <帐户域> . . / api / 2.0,在那里<帐户域>是accounts.cloud.www.neidfyre.com。
添加一个IP访问列表
添加一个IP访问列表中,调用添加一个知识产权访问列表API (帖子/账户/ <帐户id > / ip-access-lists)。
在JSON请求体中,指定:
标签——标签列表。list_type——要么允许(允许列表)或块(一块列表,这意味着排除即使在允许列表中)。ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。
响应是一个复制的对象,你通过了,但是有一些额外的字段,最重要的是list_id字段。你可能想要保存价值,这样你就可以更新或删除列表。如果你不保存它,你仍然能够得到全套的ID后通过查询IP的访问列表得到请求/账户/ <帐户id > / ip-access-lists端点。
例如,添加一个允许列表:
curl - x - n后\https:// <帐户域> . . / api / 2.0 /预览/账户/ <帐户id > / ip-access-lists - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'
示例响应:
{“ip_access_list”:{“list_id”:“< list-id >”,“标签”:“办公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允许”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“启用”:真正的}}
一块添加到列表,但是做同样的事情list_type设置为块。
更新一个IP访问列表
更新一个IP访问列表:
调用
列表所有知识产权访问列表API (得到/账户/ <帐户id > / ip-access-lists),并找到您想要更新的ID列表。调用
更新一个知识产权访问列表API (补丁/账户/ <帐户id > / ip-access-lists / < list-id >)。
在JSON请求体中,指定至少更新下列值之一:
标签——标签列表。list_type——要么允许(允许列表)或块(块列表,这意味着排除即使在允许列表中)。ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。启用——指定是否启用这个列表。通过真正的或假。
响应你传入的对象的一个副本附加字段ID和修改日期。
例如,禁用列表:
curl - x片- n\https: / <帐户域> . . / api / 2.0 /预览/账户/ <帐户id > / ip-access-lists / < list-id > - d”{“启用”:“false”}’
替换一个IP访问列表
替换一个IP访问列表:
调用
列表所有知识产权访问列表API (得到/账户/ <帐户id > / ip-access-lists),并找到你想替换的ID列表。调用
取代一个知识产权访问列表API (把/账户/ <帐户id > / ip-access-lists / < list-id >)。
在JSON请求体中,指定:
标签——标签列表。list_type——要么允许(允许列表)或块(块列表,这意味着排除即使在允许列表中)。ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。启用——指定是否启用这个列表。通过真正的或假。
响应你传入的对象的一个副本附加字段ID和修改日期。
例如,指定列表的内容替换为以下值:
curl - x将- n\https:// <帐户域> . . / api / 2.0 /预览/账户/ <帐户id > / ip-access-lists / < list-id > - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“启用”:“假”}'