À propos des règles d’accès API
Les règles d’accès API vous permettent de sécuriser votre compte en définissant ses accès aux API.
Vous pouvez utiliser les règles d’accès API pour configurer un second facteur d’authentification à votre compte. Pour en savoir plus, voir Autorités de certification (CA) dans la section Critères des règles d’accès API. |
Informations générales
Les règles d’accès API sont des objets logiques autorisant l’envoi de requêtes à travers l’API OUTSCALE et les API AWS-compliant depuis votre compte.
Les règles d’accès API fonctionnent sur listes blanches. Vous pouvez uniquement envoyer des requêtes depuis des plages d’IP spécifiques et avec des certificats validés par des autorités de certification (CA) définies dans les règles d’accès API de votre compte. Pour en savoir plus, voir Critères des règles d’accès API.
|
Périmètre
Les règles d’accès API s’appliquent à toutes les requêtes passant par les API dans le Cloud OUTSCALE, notamment les requêtes des :
-
Interfaces web telles que Cockpit
-
CLI telles que OSC CLI ou AWS CLI
-
Outils Cloud tels que Terraform
-
Scripts
Les règles d’accès API ne sont actuellement pas compatibles avec le service OUTSCALE Object Storage (OOS). Cela signifie que les requêtes vers OOS passant par les API sont toujours autorisées depuis votre compte. |
Règles par défaut
Par défaut, chaque compte possède les règles d’accès API suivantes :
-
L’accès global est autorisé (0.0.0.0/0).
-
L’accès depuis l’interface web Cockpit v1 de la Région du compte est autorisé.
Vous pouvez supprimer ces règles. Pour obtenir leur ID, filtrez les descriptions suivantes :
-
Allows all IPv4 domain
-
Allows Outscale Cockpit of this region
Vous ne pouvez pas supprimer la dernière règle d’accès API de votre compte. Si vous n’avez plus accès aux API via les règles en place, vous devez contacter l’équipe Support pour y avoir accès à nouveau. Pour en savoir plus, voir Support technique. |
Critères des règles d’accès API
Une règle d’accès API est composée d’un ou plusieurs critères. Pour chaque critère, vous pouvez spécifier une ou plusieurs valeurs. Les critères suivants sont disponibles :
-
IP : vous pouvez autoriser l’accès à des plages d’IP en notation CIDR. Pour autoriser une adresse spécifique, utilisez le préfixe
/32
. -
Autorités de certification (CA) : vous pouvez autoriser l’accès à des certificats X.509 validés par des CA que vous avez préalablement enregistrées.
Contrairement à Cockpit v2-beta, Cockpit v1 ne supporte pas les certificats clients. Par conséquent, si vous sécurisez votre compte avec une règle d’accès API contenant une CA comme critère, vous ne pourrez plus accéder à Cockpit v1.
-
Noms communs (CN) : vous pouvez autoriser l’accès à certains CN des CA que vous avez enregistrées.
Pour des raisons de sécurité, les règles d’accès API ne peuvent pas être uniquement basées sur des CN. Les CN doivent être couplés à des CA.
Pour renforcer davantage la sécurité de votre compte, nous recommandons de diversifier vos facteurs d’authentification. Par défaut, les certificats et les identifiants servent de facteur de connaissance. Les certificats peuvent servir de facteur de possession lorsqu’ils sont stockés sur des dispositifs physiques tels que des cartes à puce. |
Accéder aux API
Pour accéder aux API, il est nécessaire de valider une règle qu’une ou plusieurs règles ont été définies. Les règles définies n’ont pas d’ordre de priorité. Pour valider une règle, vous devez respecter tous ses critères. Pour un critère, vous devez respecter l’une des valeurs spécifiées.
Pour renforcer la sécurité de votre compte, nous recommandons de combiner des critères au sein d’une même règle plutôt que de définir plusieurs règles avec moins de critères. |
Le tableau suivant présente des exemples de règles d’accès API combinant différents critères avec une ou plusieurs valeurs et les accès en résultant :
Critères |
Accès autorisé ou refusé |
|
Les requêtes provenant des IP comprises dans la plage d’IP définie peuvent valider cette règle.
|
|
Les requêtes provenant des IP comprises dans la plage d’IP définie et avec un certificat validé par l’une des CA définies peuvent valider cette règle.
|
|
|
Pages connexes
Méthodes API correspondantes
AWS™ et Amazon Web Services™ sont des marques de commerce d’Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.