Les règles d'accès API vous permettent de sécuriser votre compte en définissant ses accès aux API.

Vous pouvez utiliser les règles d'accès API pour configurer un second facteur d'authentification à votre compte. Pour en savoir plus, voir Autorités de certification (CA) dans la section Critères des règles d'accès API.

Les sujets suivants sont abordés : 

Informations générales

Les règles d'accès API sont des objets logiques autorisant l'envoi de requêtes à travers l'API OUTSCALE et les API AWS-compliant depuis votre compte.

Les règles d'accès API fonctionnent sur listes blanches. Vous pouvez uniquement envoyer des requêtes depuis des plages d'IP spécifiques et avec des certificats validés par des autorités de certification (CA) définies dans les règles d'accès API de votre compte. Pour en savoir plus, voir Critères des règles d'accès API.

  • Vous pouvez utiliser votre politique d'accès API pour simplifier l'utilisation des certificats lors de l'authentification. Pour en savoir plus, voir À propos de votre politique d'accès API.
  • Les règles d'accès API ne s'appliquent pas aux requêtes API pouvant être envoyées sans authentification.

Périmètre

Les règles d'accès API s'appliquent à toutes les requêtes passant par les API dans le Cloud OUTSCALE, notamment les requêtes des :

  • Interfaces web telles que Cockpit
  • CLI telles que OSC CLI ou AWS CLI
  • Outils Cloud tels que Terraform
  • Scripts

Les règles d'accès API ne sont actuellement pas compatibles avec les services OUTSCALE Object Storage (OOS) et Object Storage Unit (OSU). Cela signifie que les requêtes vers OOS et OSU passant par les API sont toujours autorisées depuis votre compte.


Règles par défaut

Par défaut, chaque compte possède les règles d'accès API suivantes :

  1. L'accès global est autorisé (0.0.0.0/0).
  2. L'accès depuis l'interface web Cockpit de la Région du compte est autorisé.

Vous pouvez supprimer ces règles. Pour obtenir leur ID, filtrez les descriptions suivantes :

  1. Allows all IPv4 domain
  2. Allows Outscale Cockpit of this region


Méthodes API correspondantes

Critères des règles d'accès API

Une règle d'accès API est composée d'un ou plusieurs critères. Pour chaque critère, vous pouvez spécifier une ou plusieurs valeurs. Les critères suivants sont disponibles :

  • Adresses IP : vous pouvez autoriser l'accès à des plages d'IP en notation CIDR. Pour autoriser une adresse spécifique, utilisez le suffixe /32.
  • Autorités de certification (CA) : vous pouvez autoriser l'accès à des certificats X.509 validés par des CA que vous avez préalablement enregistrées.

    Pour gérer vos CA, vous pouvez utiliser les méthodes suivantes de l'API OUTSCALE (des exemples de commandes OSC CLI sont inclus) : 

    Pour renforcer davantage la sécurité de votre compte, nous recommandons de diversifier vos facteurs d'authentification. Par défaut, les certificats et les identifiants servent de facteur de connaissance. Les certificats peuvent servir de facteur de possession lorsqu'ils sont stockés sur des dispositifs physiques tels que des cartes à puce.

  • Noms communs (CN) : vous pouvez autoriser l'accès à certains CN des CA que vous avez enregistrées.

    Pour des raisons de sécurité, les règles d'accès API ne peuvent pas être uniquement basées sur des CN. Les CN doivent être couplés à des CA.



Accéder aux API

Pour accéder aux API, il est nécessaire de valider une règle qu'une ou plusieurs règles ont été définies. Les règles définies n'ont pas d'ordre de priorité. Pour valider une règle, vous devez respecter tous ses critères. Pour un critère, vous devez respecter l'une des valeurs spécifiées.

Pour renforcer la sécurité de votre compte, nous recommandons de combiner des critères au sein d'une même règle plutôt que de définir plusieurs règles avec moins de critères.

Le tableau suivant présente des exemples de règles d'accès API combinant différents critères avec une ou plusieurs valeurs et les accès en résultant : 

CritèresAccès autorisé ou refusé
  • Adresses IP : [92.152.49.218/32, 92.152.49.220/30]
  • CA non définies
  • CN non définis

Les requêtes provenant des IP comprises dans la plage d'IP définie peuvent valider cette règle.

  • (tick) Les requêtes provenant de l'IP 92.152.49.218 sont autorisées.
  • (minus) Les requêtes provenant de l'IP 92.152.49.219 sont refusées.
  • (tick) Les requêtes provenant de l'IP 92.152.49.221 sont autorisées.
  • (tick) Les requêtes provenant de l'IP 92.152.49.221 IP et avec un certificat validé par la CA ca-abcde sont autorisées.
  • (minus) Les requêtes provenant de l'IP 92.152.49.224 IP et avec un certificat validé par la CA ca-abcde sont refusées.
  • Adresses IP : [92.152.49.218/32, 92.152.49.220/30]
  • CA : [ca-abcde, ca-edcab]
  • CN non définis

Les requêtes provenant des IP comprises dans la plage d'IP définie et avec un certificat validé par l'une des CA définies peuvent valider cette règle.

  • (minus)  Les requêtes provenant de l'IP 92.152.49.218 et sans CA sont refusées.
  • (minus)  Les requêtes provenant de l'IP 92.152.49.224 et avec un certificat validé par la CA ca-abcde sont refusées.
  • (minus)  Les requêtes provenant de l'IP 92.152.49.222 et sans CA sont refusées.
  • (tick)  Les requêtes provenant de l'IP 92.152.49.218 et avec un certificat validé par la CA ca-abcde sont autorisées.
  • (tick)  Les requêtes provenant de l'IP 92.152.49.221 et avec un certificat validé par la CA ca-edcab sont autorisées.
  • (minus)  Les requêtes provenant de l'IP 92.152.49.224 et avec un certificat validé par la CA ca-ebcda sont refusées.
  • Adresses IP : [92.152.49.220/32]
  • CA : [ca-abcde]
  • CN : ["exemple.com"]
  • (tick) Seules les requêtes provenant de l'IP 92.152.49.220, avec un certificat validé par la CA ca-abcde et avec le CN "exemple.com" peuvent valider cette règle.



Gérer
les règles d'accès API

Pour gérer vos règles d'accès API, vous pouvez utiliser les méthodes suivantes de l'API OUTSCALE (des exemples de commandes OSC CLI sont inclus) : 

Vous ne pouvez pas supprimer la dernière règle d'accès API de votre compte.

Si vous n'avez plus accès aux API via les règles en place, vous devez contacter l'équipe Support pour y avoir accès à nouveau. Pour en savoir plus, voir Support technique.



AWS™ et Amazon Web Services™ sont des marques de commerce d'Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.