Oracle Cloud Infrastructure - Dokumentation

Sicherheitsattribute zu einem Mountziel hinzufügen

Verwenden Sie Zero Trust Packet Routing mit einem Mountziel.

Sie können Zero Trust Packet Routing (ZPR) zusammen mit oder anstelle von Netzwerksicherheitsgruppen verwenden, um den Netzwerkzugriff auf OCI-Ressourcen zu verwalten. Definieren Sie dazu ZPR-Policys, die steuern, wie Ressourcen miteinander kommunizieren, und fügen Sie diesen Ressourcen dann Sicherheitsattribute hinzu. Weitere Informationen finden Sie unter Zero Trust Packet Routing.
Achtung

Wenn ein Endpunkt ein Zero Trust Packet Routing-(ZPR-)Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Policys sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und einem Endpunkt ein Sicherheitsattribut hinzufügen, wird der gesamte Traffic zum Endpunkt blockiert. Ab diesem Zeitpunkt muss eine ZPR-Policy den Traffic zum Endpunkt explizit zulassen.

Erforderliche IAM-Policy

Um ZPR mit File Storage-Mountzielen zu verwenden, erstellen Sie eine IAM-Policy, die dem File Storage-Service die Berechtigung zum Prüfen und Verwenden des für ZPR erforderlichen Sicherheitsattribut-Namespace erteilt.

Beispiel: Sie können die folgende Policy verwenden:

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

Der Name des File Storage-Servicebenutzers hängt von Ihrer Realm ab. Bei Realms mit Realm-Schlüsselnummern von 10 oder weniger ist das Muster für den File Storage-Servicebenutzer FssOc<n>Prod, wobei n die Realm-Schlüsselnummer ist. Realms mit einer Realm-Schlüsselnummer größer als 10 haben den Servicebenutzer fssocprod. Weitere Informationen über Realms finden Sie unter Regionen und Availability-Domains.

    1. Wählen Sie auf der Listenseite File Storage-Mountziele das File Storage-Mountziel aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder des File Storage-Mountziels benötigen, finden Sie weitere Informationen unter Mountziele auflisten.
    2. Wählen Sie auf der Detailseite die Registerkarte Sicherheit und dann Sicherheitsattribut hinzufügen aus.
    3. Geben Sie im Bereich Sicherheitsattribut hinzufügen die folgenden Informationen ein:
      • Sicherheitsattribut-Namespace: Ein Sicherheitsattribut-Namespace ist ein Container für ein Set von Sicherheitsattributen in Zero Trust Packet Routing (ZPR).
      • Sicherheitsattributschlüssel: Der Name für ein bestimmtes Sicherheitsattribut.
      • Sicherheitsattributwert: Der Wert für ein bestimmtes Sicherheitsattribut.

      Diese Werte müssen mit einer vorhandenen ZPR-Policy übereinstimmen. Weitere Informationen zu Sicherheitsattributen und Sicherheitsattribut-Namespaces finden Sie unter Zero Trust Packet Routing.

    4. Wählen Sie abschließend Sicherheitsattribute hinzufügen aus.

  • Verwenden Sie den Befehl fs mount-target update und die erforderlichen Parameter, um Sicherheitszuordnungen zu einem Mountziel hinzuzufügen:

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang UpdateMountTarget aus, um Sicherheitszuordnungen zu einem Mountziel hinzuzufügen.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.