Les règles d'accès API vous permettent de sécuriser votre compte 3DS OUTSCALE en définissant ses accès aux API.

Vous pouvez utiliser les règles d'accès API comme facteur d'authentification supplémentaire à votre compte 3DS OUTSCALE à l'aide des autorités de certification (CA).

Les sujets suivants sont abordés : 

Informations générales

Les règles d'accès API sont des objets logiques autorisant l'envoi de requêtes à travers l'API 3DS OUTSCALE et les API AWS-compliant depuis votre compte 3DS OUTSCALE.

Les règles d'accès API ne s'appliquent pas aux requêtes API pouvant être envoyées sans authentification.

Les règles d'accès API fonctionnent sur listes blanches. Vous pouvez uniquement envoyer des requêtes depuis les plages d'IP et avec des certificats validés par des autorités de certification (CA) définies dans les règles d'accès API de votre compte 3DS OUTSCALE. Pour en savoir plus, voir Critères des règles d'accès API.

Périmètre

Les règles d'accès API s'appliquent à toutes les requêtes passant par les API dans le Cloud 3DS OUTSCALE, notamment les requêtes des :

  • interfaces web telles que Cockpit
  • CLI telles que OSC CLI ou AWS CLI
  • outils Cloud tels que Terraform
  • scripts

Règles par défaut

Par défaut, chaque compte 3DS OUTSCALE possède les règles d'accès API suivantes :

  1. L'accès global est autorisé (0.0.0.0/0).
  2. L'accès depuis l'interface web Cockpit de la Région du compte est autorisé.

Vous pouvez supprimer ces règles. Pour obtenir leur ID, filtrez les descriptions suivantes :

  1. Allows all IPv4 domain
  2. Allows Outscale Cockpit of this region


Méthodes API correspondantes

Critères des règles d'accès API

Vous pouvez autoriser l'accès aux API à l'aide d'un ou plusieurs critères. Pour chaque critère, vous pouvez spécifier une ou plusieurs valeurs.

Les critères d'une règle d'accès API sont cumulatifs. Pour qu'une règle d'accès API soit vérifiée, une des valeurs indiquées pour chacun des critères doit être valide.


Les critères suivants sont disponibles :

  • Adresses IP : Vous pouvez autoriser l'accès à des plages d'IP en notation CIDR. Pour autoriser une adresse spécifique, utilisez le suffixe /32.
  • Autorités de certification (CA) : Vous pouvez autoriser l'accès à des certificats X.509 validés par des CA que vous avez préalablement enregistrés.

    Pour gérer vos CA, vous pouvez utiliser les méthodes suivantes de l'API 3DS OUTSCALE (des exemples de commandes OSC CLI sont inclus) : 

  • Noms communs (CN) : Vous pouvez autoriser l'accès à certains CN seulement des CA que vous avez fournis.

    Pour des raisons de sécurité, les règles d'accès API ne peuvent pas être uniquement basées sur des CN, ils doivent être couplés à des CA.



Gérer les règles d'accès API

Pour gérer vos règles d'accès API, vous pouvez utiliser les méthodes suivantes de l'API 3DS OUTSCALE (des exemples de commandes OSC CLI sont inclus) : 

Vous ne pouvez pas supprimer la dernière règle d'accès API de votre compte.

Si vous n'avez plus accès aux API via les règles en place, vous devez contacter l'équipe Support pour regagner accès. Pour en savoir plus, voir Support technique.



AWS™ et Amazon Web Services™ sont des marques de commerce d'Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.