機械翻訳について
  1. Oracle Cloud Infrastructure Compute ClassicのREST API
  2. タスク
  3. SecurityRule

IPネットワークのセキュリティ・ルールの作成

post

/network/v1/secrule/

セキュリティ・ルールを追加します。 セキュリティ・ルールは指定されたソースからのトラフィック、または指定された宛先へのトラフィックを許可します。 セキュリティ・ルールの方向(イングレスまたはエグレス)を指定する必要があります。 さらに、許可されたトラフィックのソースまたは宛先と、パケットの送信または受信に使用するセキュリティ・プロトコルおよびポートを指定できます。 セキュリティ・ルールで指定する各パラメータは、そのルールによって許可されるトラフィックのタイプが一致する必要がある基準を指定します。 指定されたすべての基準に一致するパケットのみが許可されます。 セキュリティ・ルールで一致基準を指定しない場合、指定された方向のすべてのトラフィックが許可されます。

指定した方向(たとえば、イングレス)でセキュリティ・ルールを作成する際、反対の方向(この場合はエグレス)の対応するセキュリティ・ルールも作成する必要があります。 トラフィックが1つの方向で許可されるとき、反対方向のレスポンスまたは確認パケットも許可されることを確認するために、これは一般的に必要です。

セキュリティ・ルールの作成時に、そのセキュリティ・ルールが属するACLを指定します。 ACLはvNICsetに適用されます。 複数のACLを1つのvNICsetに適用でき、各ACLを複数のvNICsetに適用できます。 ACLがvNICsetに適用されると、そのACLに属するすべてのセキュリティ・ルールが、vNICsetで指定されているすべてのvNICに適用されます。

セキュリティ・ルールでは、次のパラメータを指定できます。

* フローの方向 - イングレスまたはエグレス

* (オプション) ソースvNICsetまたはソースIPアドレス・プレフィックス・セットのリスト(あるいはその両方)

* (オプション) 宛先vNICsetまたは宛先IPアドレス・プレフィックス・セットのリスト(あるいはその両方)

* (オプション) セキュリティ・プロトコルのリスト

* (オプション) このルールを含むACLの名前

* (オプション) セキュリティ・ルールを無効化するオプション

必要なロール: このタスクを実行するには、Compute_Operationsのロールが必要です。 このロールが割り当てられていない、または割当てが不明な場合は、システム管理者に連絡してロールがユーザーにOracle Cloud My Servicesで割り当てられるようにしてください。 Oracle Cloudの管理および監視ユーザー・ロールの変更に関する項を参照してください。

リクエスト

サポートされるメディア・タイプ
ヘッダー・パラメータ
本文 ()
リクエスト本文には、作成するセキュリティ・ルールの詳細が含まれます。
ルート・スキーマ : SecurityRule-post-request
型: object
リクエスト本文には、作成するセキュリティ・ルールの詳細が含まれます。
ソースの表示
  • このセキュリティ・ルールを追加するアクセス制御リスト(ACL)の3つの部分からなる名前を選択します。 セキュリティ・ルールはACLを使用してvNICセットに適用されます。
  • セキュリティ・ルールの説明。
  • dstIpAddressPrefixSets
    トラフィックを許可する宛先としてのIPアドレス接頭辞セットのリスト。 指定したIPアドレス接頭辞セットのIPアドレスへのパケットのみが許可されます。 宛先のIPアドレス接頭辞セットを指定しない場合は、すべてのIPアドレスへのトラフィックが許可されます。
  • トラフィックを許可する先のvNICset。 指定したvNICsetのvNICへのパケットのみが許可されます。 宛先のvNICsetを指定しない場合は、すべてのvNICへのトラフィックが許可されます。
  • セキュリティ・ルールを有効または無効にできます。 このパラメータはデフォルトでtrueに設定されます。 セキュリティ・ルールを無効化するにはfalseを指定します。
  • このセキュリティ・ルールの、インスタンスに相対的なトラフィックのフローの方向を指定します。 有効な値は、ingressまたはegressです。

    イングレス・パケットは、たとえば、別の仮想NICまたはパブリック・インターネットから、仮想NICによって受信されるパケットです。

    エグレス・パケットは、たとえば、別の仮想NICまたはパブリック・インターネットへ、仮想NICによって送信されるパケットです。

  • IPアドレスの関連付けの3つの部分からなる名前(/Compute-identity_domain/user/object)。

    オブジェクト名には、英数字、アンダースコア(_)およびハイフン(-)のみを含めることができます。 オブジェクト名は大文字と小文字が区別されます。 オブジェクト名を指定する際には、同じタイプで同じ名前のオブジェクトがすでに存在していないことを確認してください。 そのようなオブジェクトがすでに存在する場合、同じ名前で同じタイプの別のオブジェクトは作成されず、既存のオブジェクトは更新されません。

  • secProtocols
    トラフィックを許可するセキュリティ・プロトコルのリスト。 指定したプロトコルおよびポートに一致するパケットのみが許可されます。 セキュリティ・プロトコルを指定しない場合は、すべてのプロトコルおよびポートでトラフィックが許可されます。
  • srcIpAddressPrefixSets
    トラフィックを許可するソースとしてのIPアドレス接頭辞セットのリスト。 指定したIPアドレス接頭辞セットのIPアドレスからのパケットのみが許可されます。 ソースのIPアドレス接頭辞セットを指定しない場合は、すべてのIPアドレスからのトラフィックが許可されます。
  • トラフィックを許可する元のvNICset。 指定したvNICsetのvNICからのパケットのみが許可されます。 ソースのvNICsetを指定しない場合は、すべてのvNICからのトラフィックが許可されます。
  • tags
    セキュリティ・ルールのタグ付けに使用可能な文字列。
ネストされたスキーマ : dstIpAddressPrefixSets
型: array
トラフィックを許可する宛先としてのIPアドレス接頭辞セットのリスト。 指定したIPアドレス接頭辞セットのIPアドレスへのパケットのみが許可されます。 宛先のIPアドレス接頭辞セットを指定しない場合は、すべてのIPアドレスへのトラフィックが許可されます。
ソースの表示
ネストされたスキーマ : secProtocols
型: array
トラフィックを許可するセキュリティ・プロトコルのリスト。 指定したプロトコルおよびポートに一致するパケットのみが許可されます。 セキュリティ・プロトコルを指定しない場合は、すべてのプロトコルおよびポートでトラフィックが許可されます。
ソースの表示
ネストされたスキーマ : srcIpAddressPrefixSets
型: array
トラフィックを許可するソースとしてのIPアドレス接頭辞セットのリスト。 指定したIPアドレス接頭辞セットのIPアドレスからのパケットのみが許可されます。 ソースのIPアドレス接頭辞セットを指定しない場合は、すべてのIPアドレスからのトラフィックが許可されます。
ソースの表示
ネストされたスキーマ : tags
型: array
セキュリティ・ルールのタグ付けに使用可能な文字列。
ソースの表示
トップに戻る

レスポンス

サポートされるメディア・タイプ

201レスポンス

作成されました。 返される可能性のあるその他のHTTPステータス・コードの詳細は、「ステータス・コード」を参照してください。
ヘッダー
本文 ()
ルート・スキーマ : SecurityRule-response
型: object
ソースの表示
ネストされたスキーマ : dstIpAddressPrefixSets
型: array
パケットの宛先IPアドレスに一致するIPアドレス・プレフィックス・セット名のリスト。
ソースの表示
ネストされたスキーマ : secProtocols
型: array
パケットのプロトコルおよびポートに一致するセキュリティ・プロトコル・オブジェクト名のリスト。
ソースの表示
ネストされたスキーマ : srcIpAddressPrefixSets
型: array
パケットのソースIPアドレスに一致するIPアドレス・プレフィックス・セットのマルチパート名のリスト。
ソースの表示
ネストされたスキーマ : tags
型: array
オブジェクトに関連付けられているタグ。
ソースの表示
トップに戻る

cURLコマンド

次の例では、cURLを使用してRESTリソースに対するPOSTリクエストを発行することによって、セキュリティ・ルールを作成する方法を示しています。 cURLの詳細は、「cURLの使用」を参照してください。

コマンドを1行で入力します。 この例では、読みやすくするために改行が使用されています。 

curl -i -X POST
     -H "Cookie: $COMPUTE_COOKIE"
     -H "Content-Type: application/oracle-compute-v3+json"
     -H "Accept: application/oracle-compute-v3+json"
     -d "@requestbody.json"
        https://api-z999.compute.us0.oraclecloud.com/network/v1/secrule/

  • COMPUTE_COOKIEは、前の手順で認証cookieを格納した変数の名前です。 認証クッキーの取得および変数への格納の詳細は、認証を参照してください。

  • api-z999.compute.us0.oraclecloud.comはRESTエンドポイントURLの例です。 この値をCompute ClassicサイトのRESTエンドポイントURLに変更します。 サイトのRESTエンドポイントURLを見つける方法については、「リクエストの送信」を参照してください。

リクエスト本文の例

次は、requestbody.jsonファイルのリクエスト本文のコンテンツの例です。 

{
  "name": "/Compute-acme/jack.jones@example.com/secrule1",
  "flowDirection": "egress",
  "description": "Sample security rule",
  "acl": "/Compute-acme/jack.jones@example.com/acl1",
  "srcVnicSet": "/Compute-acme/jack.jones@example.com/vnicset1",
  "dstVnicSet": "/Compute-acme/jack.jones@example.com/vnicset2",
  "secProtocols": ["/Compute-acme/jack.jones@example.com/secprotocol1"],
  "srcIpAddressPrefixSets": ["/Compute-acme/jack.jones@example.com/ipaddressprefixset1"]
}

レスポンス本文の例

次の例は、レスポンス本文をJSON形式で示しています。

{
  "name": "/Compute-acme/jack.jones@example.com/secrule1",
  "uri": "https://api-z999.compute.us0.oraclecloud.com:443/network/v1/secrule/Compute-acme/jack.jones@example.com/secrule1",
  "description": "Sample security rule",
  "tags": null,
  "acl": "/Compute-acme/jack.jones@example.com/acl1",
  "flowDirection": "egress",
  "srcVnicSet": "/Compute-acme/jack.jones@example.com/vnicset1",
  "dstVnicSet": "/Compute-acme/jack.jones@example.com/vnicset2",
  "srcIpAddressPrefixSets": ["/Compute-acme/jack.jones@example.com/ipaddressprefixset1"]
  "dstIpAddressPrefixSets": null,
  "secProtocols": ["/Compute-acme/jack.jones@example.com/secprotocol1"],
  "enabledFlag": true
}
トップに戻る