À propos des règles d’accès API

Les règles d’accès API vous permettent de sécuriser votre compte en définissant ses accès aux API.

Vous pouvez utiliser les règles d’accès API pour configurer un second facteur d’authentification à votre compte. Pour en savoir plus, voir Autorités de certification (CA) dans la section Critères des règles d’accès API.

Informations générales

Les règles d’accès API sont des objets logiques autorisant l’envoi de requêtes à travers l’API OUTSCALE et les API AWS-compliant depuis votre compte.

Les règles d’accès API fonctionnent sur listes blanches. Vous pouvez uniquement envoyer des requêtes depuis des plages d’IP spécifiques et avec des certificats validés par des autorités de certification (CA) définies dans les règles d’accès API de votre compte. Pour en savoir plus, voir Critères des règles d’accès API.

  • Vous pouvez utiliser votre politique d’accès API pour simplifier l’utilisation des certificats lors de l’authentification. Pour en savoir plus, voir À propos de votre politique d’accès API.

  • Les règles d’accès API ne s’appliquent pas aux requêtes API pouvant être envoyées sans authentification.

Périmètre

Les règles d’accès API s’appliquent à toutes les requêtes passant par les API dans le Cloud OUTSCALE, notamment les requêtes des :

  • Interfaces web telles que Cockpit et OUTSCALE Marketplace

  • CLI telles que OSC CLI ou AWS CLI

  • Outils Cloud tels que Terraform

  • Scripts

Les règles d’accès API ne sont actuellement pas compatibles avec le service OUTSCALE Object Storage (OOS). Cela signifie que les requêtes vers OOS passant par les API sont toujours autorisées depuis votre compte.

Règles par défaut

Par défaut, dans toutes les régions excepté cloudgouv-eu-west-1, chaque compte possède les règles d’accès API suivantes qui se chevauchent :

  1. L’accès global est autorisé (0.0.0.0/0).

  2. L’accès depuis l’interface web Cockpit v1 de la Région du compte est autorisé.

Notez qu’une règle spécifique à Cockpit v2 n’est pas nécessaire, dans la mesure où Cockpit v2 est une application côté client qui repose sur votre propre IP, contrairement à Cockpit v1.

Dans la Région cloudgouv-eu-west-1, les comptes n’ont pas de règles d’accès API par défaut. Vous devez donc créer des règles d’accès API pour toutes les adresses IP qui doivent d’accéder à l’API, soit à la création du compte, soit en utilisant la méthode CreateApiAccessRule. Pour plus d’informations, voir Gérer les règles d’accès API.

Vous pouvez supprimer ces règles. Pour obtenir leur ID, filtrez les descriptions suivantes :

  1. Allows all IPv4 domain

  2. Allows Outscale Cockpit of this region

Vous ne pouvez pas supprimer la dernière règle d’accès API de votre compte.

Si vous n’avez plus accès aux API via les règles en place, vous devez contacter l’équipe Support pour y avoir accès à nouveau. Pour en savoir plus, voir Support technique.

Critères des règles d’accès API

Une règle d’accès API est composée d’un ou plusieurs critères. Pour chaque critère, vous pouvez spécifier une ou plusieurs valeurs. Les critères suivants sont disponibles :

  • IP : vous pouvez autoriser l’accès à des plages d’IP en notation CIDR. Pour autoriser une adresse spécifique, utilisez le préfixe /32.

  • Autorités de certification (CA) : vous pouvez autoriser l’accès à des certificats X.509 validés par des CA que vous avez préalablement enregistrées.

    Contrairement à Cockpit v2, Cockpit v1 ne supporte pas les certificats clients. Par conséquent, si vous sécurisez votre compte avec une règle d’accès API contenant une CA comme critère, vous ne pourrez plus accéder à Cockpit v1.

  • Noms communs (CN) : vous pouvez autoriser l’accès à certains CN des CA que vous avez enregistrées.

    Pour des raisons de sécurité, les règles d’accès API ne peuvent pas être uniquement basées sur des CN. Les CN doivent être couplés à des CA.

Pour renforcer davantage la sécurité de votre compte, nous recommandons de diversifier vos facteurs d’authentification. Par défaut, les certificats et les identifiants servent de facteur de connaissance. Les certificats peuvent servir de facteur de possession lorsqu’ils sont stockés sur des dispositifs physiques tels que des cartes à puce.

Accéder aux API

Pour accéder aux API, il est nécessaire de valider une règle qu’une ou plusieurs règles ont été définies. Les règles définies n’ont pas d’ordre de priorité. Pour valider une règle, vous devez respecter tous ses critères. Pour un critère, vous devez respecter l’une des valeurs spécifiées.

Pour renforcer la sécurité de votre compte, nous recommandons de combiner des critères au sein d’une même règle plutôt que de définir plusieurs règles avec moins de critères.

Le tableau suivant présente des exemples de règles d’accès API combinant différents critères avec une ou plusieurs valeurs et les accès en résultant :

Critères

Accès autorisé ou refusé

  • IP : [92.152.49.218/32, 92.152.49.220/30]

  • CA non définies

  • CN non définis

Les requêtes provenant des IP comprises dans la plage d’IP définie peuvent valider cette règle.

  • Les requêtes provenant de l’IP 92.152.49.218 sont autorisées.

  • Les requêtes provenant de l’IP 92.152.49.219 sont refusées.

  • Les requêtes provenant de l’IP 92.152.49.221 sont autorisées.

  • Les requêtes provenant de l’IP 92.152.49.221 IP et avec un certificat validé par la CA ca-abcde sont autorisées.

  • Les requêtes provenant de l’IP 92.152.49.224 IP et avec un certificat validé par la CA ca-abcde sont refusées.

  • IP : [92.152.49.218/32, 92.152.49.220/30]

  • CA : [ca-abcde, ca-edcab]

  • CN non définis

Les requêtes provenant des IP comprises dans la plage d’IP définie et avec un certificat validé par l’une des CA définies peuvent valider cette règle.

  • Les requêtes provenant de l’IP 92.152.49.218 et sans CA sont refusées.

  • Les requêtes provenant de l’IP 92.152.49.224 et avec un certificat validé par la CA ca-abcde sont refusées.

  • Les requêtes provenant de l’IP 92.152.49.222 et sans CA sont refusées.

  • Les requêtes provenant de l’IP 92.152.49.218 et avec un certificat validé par la CA ca-abcde sont autorisées.

  • Les requêtes provenant de l’IP 92.152.49.221 et avec un certificat validé par la CA ca-edcab sont autorisées.

  • Les requêtes provenant de l’IP 92.152.49.224 et avec un certificat validé par la CA ca-ebcda sont refusées.

  • IP : [92.152.49.220/32]

  • CA : [ca-abcde]

  • CN : ["exemple.com"]

  • Seules les requêtes provenant de l’IP 92.152.49.220, avec un certificat validé par la CA ca-abcde et avec le CN "exemple.com" peuvent valider cette règle.

Pages connexes

Méthodes API correspondantes

AWS™ et Amazon Web Services™ sont des marques de commerce d’Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.

Exporter en PDF