Oracle Cloud Infrastructure-Dokumentation

Cloud Guard-Policys

Um zu steuern, wer Zugriff auf Oracle Cloud Guard hat und welchen Zugriffstyp jede Benutzergruppe erhält, müssen Sie Policys erstellen.

Standardmäßig haben nur die Benutzer in der Gruppe Administrators Zugriff auf alle Cloud Guard-Ressourcen. Für alle anderen Personen, die mit Cloud Guard arbeiten, müssen Sie neue Policys erstellen, um ihnen die erforderlichen Rechte für Cloud Guard-Ressourcen zuzuweisen.

Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.

Ressourcentypen

Cloud Guard bietet sowohl aggregierte als auch individuelle Ressourcentypen für das Schreiben von Policys.

Sie können aggregierte Ressourcentypen verwenden, um weniger Policys zu schreiben. Beispiel: Anstatt einer Gruppe die Verwaltung von cloud-guard-detectors und cloud-guard-problems zu ermöglichen, können Sie über eine Policy zulassen, dass die Gruppe den aggregierten Ressourcentyp cloud-guard-family verwalten kann.

Aggregierter Ressourcentyp Individueller Ressourcentyp
cloud-guard-family

cloud-guard-adhoc-query

cloud-guard-condition-metadata-types

cloud-guard-config

cloud-guard-coverage

cloud-guard-data-mask-rules

cloud-guard-data-sources

cloud-guard-detector-recipes

cloud-guard-detector-rule-definitions

cloud-guard-detectors

cloud-guard-findings

cloud-guard-managed-lists

cloud-guard-metadata

cloud-guard-meta-data-sync

cloud-guard-problems

cloud-guard-recommendations

cloud-guard-resource-profile

cloud-guard-resource-types

cloud-guard-resource-view

cloud-guard-responder-recipes

cloud-guard-responder-rules

cloud-guard-responder-executions

cloud-guard-risk-scores

cloud-guard-saved-query

cloud-guard-schemas

cloud-guard-security-scores

cloud-guard-service-logging

cloud-guard-signals

cloud-guard-summary-event

cloud-guard-target-detector-rules

cloud-guard-targets

cloud-guard-user-preferences

security-policy

security-recipe

security-zone

Die APIs für den aggregierten Ressourcentyp cloud-guard-family decken jede API ab, die in der vorhergehenden Tabelle unter "Individuelle Ressourcentypen" aufgeführt ist.

Beispiel: 

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

...entspricht dem Schreiben von 20 Policys mit folgendem Format:

allow group cloudguard-admins to manage <resource_type> in compartment <x>
Hinweis

Wenn die Cloud Guard-Admins-Gruppe nicht in der Standardidentitätsdomain enthalten ist, müssen Sie <identity_domain_name>, gefolgt von einem Schrägstrich ("/"), vor dem Gruppennamen einfügen:

allow group <identity_domain_name>/cloudguard-admins to manage cloud-guard-family in compartment <x>

Details zu Kombinationen aus Verben und Ressourcentypen

Tabellen mit Berechtigungen und API-Vorgängen, die von jedem Verb für Cloud Guard abgedeckt sind.

Die Zugriffsebene ist kumulativ von inspect > read > use > manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt. Weitere Informationen zu den Berechtigungen in Oracle Cloud Infrastructure finden Sie unter Berechtigungen.

cloud-guard-adhoc-query

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-adhoc-query aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_ADHOC_QUERY_INSPECT

ListAdhocQueries

Keine

READ

INSPECT +

INSPECT +

Keine

CG_ADHOC_QUERY_READ

GetAdhocQuery

ListAdhocQueryResults

GetAdhocQueryResultContent

USE

READ +

READ +

Keine

CG_ADHOC_QUERY_CREATE

 CreateAdhocQuery

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-condition-metadata-types

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-condition-metadata-types aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_CONDITION_METADATA_TYPES_INSPECT

ListCloudGuardConditionMetadataType

Keine

READ

keine zusätzlichen

PRÜFEN+

PRÜFEN+

CG_CONDITION_METADATA_TYPES_READ

 GetCloudGuardConditionMetadataType

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-config

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-config aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_CONFIG_INSPECT

GetCloudGuard

Keine

READ

INSPECT +

INSPECT +

Keine

CG_CONFIG_READ

GetCloudGuard

Keine

USE

READ +

READ +

Keine

CG_CONFIG_UPDATE

UpdateCloudGuard

Keine

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-coverage

Hier werden die behandelten APIs für den Ressourcentyp cloud-guard-coverage aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_COVERAGE_INSPECT

RequestSummarizedCoverage

Keine

READ

keine zusätzlichen

keine zusätzlichen

USE

keine zusätzlichen

keine zusätzlichen

MANAGE

keine zusätzlichen

keine zusätzlichen

cloud-guard-data-mask-rules

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-data-mask-rules aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_DATA_MASK_RULE_INSPECT

ListDataMaskRules

Keine

READ

INSPECT +

INSPECT +

Keine

CG_DATA_MASK_RULE_READ

GetDataMaskRule

USE

READ +

READ +

Keine

CG_DATA_MASK_RULE_UPDATE

UpdateDataMaskRule

MANAGE

Keine

USE +

USE +

Keine

CG_DATA_MASK_RULE_CREATE

CreateDataMaskRule

CG_DATA_MASK_RULE_DELETE

DeleteDataMaskRule

cloud-guard-data-sources

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-data-sources aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_DATA_SOURCE_INSPECT

ListDataSources

Keine

READ

INSPECT +

INSPECT +

Keine

CG_DATA_SOURCE_READ

GetDataSource

USE

READ +

READ +

Keine

CG_DATA_SOURCE_UPDATE

UpdateDataSource

MANAGE

Keine

USE +

USE +

Keine

CG_DATA_SOURCE_CREATE

CreateDataSource

CG_DATA_SOURCE_DELETE

DeleteDataSource

CG_DATA_SOURCE_MOVE

ChangeDataSourceCompartment

cloud-guard-detectors

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-detectors aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_DETECTOR_INSPECT

ListCloudGuardDetectors

Keine

ListCloudGuardDetectorRules

READ

INSPECT +

INSPECT +

Keine

CG_DETECTOR_READ

GetCloudGuardDetector

GetCloudGuardDetectorRule

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-detector-recipes

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-detector-recipes aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_DETECTOR_RECIPE_INSPECT

ListCloudGuardDetectorRecipe

Keine

ListCloudGuardDetectorRecipeDetectorRules

READ

INSPECT +

INSPECT +

Keine
CG_DETECTOR_RECIPE_READ

GetCloudGuardDetectorRecipe

GetCloudGuardDetectorRecipeDetectorRule

USE

READ +

READ +

Keine

CG_DETECTOR_RECIPE_UPDATE

 UpdateCloudGuardDetectorRecipe

ChangeCloudGuardDetectorRecipeCompartment

UpdateCloudGuardDetectorRecipeDetectorRule

MANAGE

USE +

USE +

Keine

CG_DETECTOR_RECIPE_CREATE

CreateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_DELETE

DeleteCloudGuardDetectorRecipe

cloud-guard-detector-rule-definitions

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-detector-rule-definitions aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_DETECTOR_RULE_DEFINITION_INSPECT

ListDetectorRuleDefinitions

Keine

READ

INSPECT +

INSPECT +

Keine

CG_DETECTOR_RULE_DEFINITION_READ

GetDetectorRuleDefinition

USE

READ +

READ +

Keine

CG_DETECTOR_RULE_DEFINITION_UPDATE

 UpdateDetectorRuleDefinition

MANAGE

USE +

USE +

Keine

CG_DETECTOR_RULE_DEFINITION_CREATE

CreateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_DELETE

DeleteDetectorRuleDefinition

cloud-guard-findings

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-findings aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

INSPECT

keine zusätzlichen keine zusätzlichen

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

CG_FINDING_CREATE

CreateCloudGuardFinding

Keine
cloud-guard-managed-lists

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-managed-lists aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_MANAGED_LIST_INSPECT

ListCloudGuardManagedLists

Keine

ListCloudGuardManagedListTypes

READ

INSPECT +

INSPECT +

Keine

CG_MANAGED_LIST_READ

GetCloudGuardManagedList

USE

READ +

READ +

Keine

CG_MANAGED_LIST_UPDATE

 UpdateCloudGuardManagedList

MANAGE

USE +

USE +

Keine

CG_MANAGED_LIST_CREATE

CreateCloudGuardManagedList

CG_MANAGED_LIST_DELETE

DeleteCloudGuardManagedList

CG_MANAGED_LIST_MOVE

ChangeManagedListCompartment

cloud-guard-metadata

Hier werden die behandelten APIs für den Ressourcentyp cloud-guard-metadata aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_METADATA_INSPECT

ListTactics

Keine

ListTechniques

READ

keine zusätzlichen

keine zusätzlichen

USE

keine zusätzlichen

keine zusätzlichen

MANAGE

keine zusätzlichen

keine zusätzlichen

cloud-guard-meta-data-sync

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-meta-data-sync aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

keine zusätzlichen keine zusätzlichen

Keine

Keine

Keine

READ

INSPECT +

INSPECT +

Keine

CG_METADATASYNC_READ

GetMetaDataSyncStatus

USE

READ +

READ +

Keine

CG_METADATASYNC_UPDATE

 UpdateResourceSync

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-problems

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-problems aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_PROBLEM_INSPECT

ListCloudGuardProblems

Keine

ListCloudGuardProblemHistories

ListCloudGuardResponderActivities

RequestCloudGuardSummarizedActivityProblems

READ

INSPECT +

INSPECT +

Keine

CG_PROBLEM_READ

GetCloudGuardProblem

RequestCloudGuardSummarizedProblems

RequestCloudGuardSummarizedTrendProblems

ListCloudGuardImpactedResources

USE

READ +

READ +

Keine

CG_PROBLEM_UPDATE

 UpdateCloudGuardBulkProblemStatus

UpdateCloudGuardProblemStatus

TriggerCloudGuardResponder

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-recommendations

Hier werden die behandelten APIs für den Ressourcentyp cloud-guard-recommendations aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RECOMMENDATION_INSPECT

ListCloudGuardRecommendations

Keine

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-resource-profile

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-resource-profile aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RESOURCE_PROFILE_INSPECT

ListResourceProfiles

Keine

READ

INSPECT +

INSPECT +

Keine

CG_RESOURCE_PROFILE_READ

GetResourceProfile

ListResourceProfileEndpoints

ListResourceProfileImpactedResources

RequestSummarizedTopTrendResourceRiskScores

RequestSummarizedTrendResourceRiskScores

USE

keine zusätzlichen

keine zusätzlichen

MANAGE

keine zusätzlichen

keine zusätzlichen

cloud-guard-resource-types

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-cloud-guard-resource-types aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RESOURCE_TYPES_INSPECT

ListCloudGuardResourceTypes

Keine

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-resource-view

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-resource-view aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RESOURCE_VIEW_INSPECT

ListResources

Keine

READ

INSPECT +

INSPECT +

Keine

CG_RESOURCE_VIEW_READ

GetResource

USE

keine zusätzlichen

keine zusätzlichen

MANAGE

keine zusätzlichen

keine zusätzlichen

cloud-guard-responder-recipes

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-cloud-guard-responder-recipes aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RESPONDER_RECIPE_INSPECT

ListCloudGuardResponderRecipe

Keine

ListCloudGuardResponderRecipeResponderRule

READ

INSPECT +

INSPECT +

Keine

CG_RESPONDER_RECIPE_READ

GetCloudGuardResponderRecipe

GetCloudGuardResponderRecipeResponderRule

USE

READ +

READ +

Keine

CG_RESPONDER_RECIPE_UPDATE

 UpdateCloudGuardResponderRecipe

ChangeCloudGuardResponderRecipeCompartment

UpdateCloudGuardResponderRecipeResponderRule

MANAGE

USE +

USE +

Keine

CG_RESPONDER_RECIPE_CREATE

CreateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_DELETE

DeleteCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_MOVE

ChangeResponderRecipeCompartment

cloud-guard-responder-executions

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-responder-executions aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RESPONDER_EXECUTION_INSPECT

ListCloudGuardResponderExecution

Keine

READ

INSPECT +

INSPECT +

Keine

CG_RESPONDER_EXECUTION_READ

GetCloudGuardResponderExecution

RequestCloudGuardSummarizedResponderExecutions

RequestCloudGuardSummarizedTrendResponderExecutions

USE

READ +

READ +

Keine

CG_RESPONDER_EXECUTION_UPDATE

 ExecuteCloudGuardResponderExecution

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-risk-scores

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-risk-scores aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_RISK_SCORES_INSPECT

RequestCloudGuardSummarizedRiskScores

Keine

RequestCloudGuardRiskScores

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-saved-query

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-saved-query aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_SAVED_QUERY_INSPECT

ListSavedQueries

Keine

READ

INSPECT +

INSPECT +

Keine

CG_SAVED_QUERY_READ

GetSavedQuery

USE

READ +

READ +

Keine

CG_SAVED_QUERY_UPDATE

 UpdateSavedQuery

MANAGE

USE +

USE +

Keine

CG_SAVED_QUERY_CREATE

CreateSavedQuery

CG_SAVED_QUERY_DELETE

DeleteSavedQuery

CG_SAVED_QUERY_MOVE

ChangeWlpSavedQueryCompartment

cloud-guard-schemas

Hier werden die behandelten APIs für den Ressourcentyp cloud-guard-schemas aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_SCHEMA_INSPECT

ListSchemas

Keine

READ

INSPECT +

INSPECT +

Keine

CG_SCHEMA_READ

GetSchema

USE

READ +

READ +

Keine

CG_SCHEMA_UPDATE

 UpdateSchema

MANAGE

USE +

USE +

Keine

CG_SCHEMA_CREATE

CreateSchema

CG_SCHEMA_DELETE

DeleteSchema

cloud-guard-security-scores

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-security-scores aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSummarizedSecurityScores

Keine

RequestCloudGuardSummarizedTrendSecurityScores

RequestCloudGuardSecurityScores

RequestSecurityScoreSummarizedTrend

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-service-logging

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-service-logging aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

INSPECT

ListCloudGuardProblems

keine zusätzlichen

READ

INSPECT +

INSPECT +

Keine

CG_SERVICE_LOGGING_READ

GetServiceLogging

USE

READ +

READ +

Keine

CG_SERVICE_LOGGING_UPDATE

 UpdateServiceLogging

MANAGE

USE +

USE +

Keine

CG_SERVICE_LOGGING_CREATE

CreateServiceLogging

CG_SERVICE_LOGGING_DELETE

DeleteServiceLogging

cloud-guard-signals

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-signals aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

keine zusätzlichen keine zusätzlichen

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

USE +

USE +

Keine

CG_SIGNAL_CREATE

CreateCloudGuardSignal

cloud-guard-summary-event

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-summary-event aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

keine zusätzlichen keine zusätzlichen

READ

keine zusätzlichen keine zusätzlichen

USE

keine zusätzlichen keine zusätzlichen

MANAGE

USE +

USE +

Keine

CG_SUMMARY_EVENT_CREATE

AddSummaryEvent

cloud-guard-targets

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-targets aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_TARGET_INSPECT

ListCloudGuardTargets

Keine

ListCloudGuardTargetDetectorRecipes

ListCloudGuardTargetDetectorRecipeDetectorRules

READ

INSPECT +

INSPECT +

Keine

CG_TARGET_READ

GetCloudGuardTarget

ListCloudGuardTargetResponderRecipes

GetCloudGuardTargetResponderRecipe

ListCloudGuardTargetResponderRecipeResponderRules

GetCloudGuardTargetResponderRecipeResponderRule

GetCloudGuardTargetDetectorRecipe

GetCloudGuardTargetDetectorRecipeDetectorRule

USE

READ +

READ +

Keine

CG_TARGET_UPDATE

 UpdateCloudGuardTarget

UpdateCloudGuardTargetDetectorRule

CreateCloudGuardTargetResponderRecipe

ChangeCloudGuardTargetResponderRecipeCompartment

UpdateCloudGuardTargetResponderRecipe

UpdateCloudGuardTargetResponderRecipeResponderRule

CreateCloudGuardTargetDetectorRecipe

ChangeCloudGuardTargetDetectorRecipeCompartment

UpdateCloudGuardTargetDetectorRecipe

MANAGE

USE +

USE +

Keine

CG_TARGET_CREATE

CreateCloudGuardTarget

CG_TARGET_DELETE

DeleteCloudGuardTarget

DeleteCloudGuardTargetResponderRecipe

DeleteCloudGuardTargetDetectorRecipe

cloud-guard-user-preferences

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-user-preferences aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_USER_PREFERENCE_INSPECT

GetCloudGuardUserPreference

Keine

READ

keine zusätzlichen keine zusätzlichen

USE

READ +

READ +

Keine

USE +

USE +

Keine

CG_USER_PREFERENCE_UPDATE

ReplaceCloudGuardUserPreference

MANAGE

keine zusätzlichen keine zusätzlichen
cloud-guard-work-requests

Hier werden die abgedeckten APIs für den Ressourcentyp cloud-guard-work-requests aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Berechtigungen

Vollständig abgedeckte APIs

Teilweise abgedeckte APIs

INSPECT

CG_WORK_REQUEST_INSPECT

LListWorkRequests

Keine

READ

INSPECT +

INSPECT +

Keine

CG_WORK_REQUEST_READ

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

USE

keine zusätzlichen

keine zusätzlichen

MANAGE

USE +

USE +

Keine

CG_WORK_REQUEST_DELETE

CancelWorkRequest

Sicherheitspolitik

API-Vorgang

Für den Vorgang erforderliche Berechtigungen
GetSecurityPolicy SECURITY_RECIPE_READ
security-recipe

Hier werden die für den Ressourcentyp security-recipe abgedeckten APIs aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Verb Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect SECURITY_RECIPE_INSPECT ListSecurityRecipes Keine
read

inspect+

SECURITY_RECIPE_READ

GetSecurityRecipe Keine
use

read+

SECURITY_RECIPE_UPDATE

UpdateSecurityRecipe Keine
manage

use+

SECURITY_RECIPE_CREATE

SECURITY_RECIPE_DELETE

CreateSecurityRecipe

DeleteSecurityRecipe

Keine
security-zone

Hier werden die für den Ressourcentyp security-zone abgedeckten APIs aufgelistet. Die APIs werden für jede Berechtigung alphabetisch angezeigt.

Verb Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect SECURITY_ZONE_INSPECT ListSecurityZones Keine
read

inspect+

SECURITY_ZONE_READ

GetSecurityZone Keine
use

read+

SECURITY_ZONE_ATTACH

SECURITY_ZONE_DETACH

SECURITY_ZONE_UPDATE

AddCompartment

RemoveCompartment

UpdateSecurityZone

Keine
manage

use+

SECURITY_ZONE_CREATE

SECURITY_ZONE_DELETE

CreateSecurityZone

DeleteSecurityZone

Keine

Für jeden API-Vorgang erforderliche Berechtigungen

Tabellen zur Auflistung der API-Vorgänge in logischer Reihenfolge, gruppiert nach Ressourcentyp.

Die Ressourcentypen werden in Ressourcentypen in der Spalte "Individuelle Ressourcentypen " aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

cloud-guard-adhoc-abfrage

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListAdhocQueries

CG_ADHOC_QUERY_INSPECT

GetAdhocQuery

CG_ADHOC_QUERY_READ

ListAdhocQueryResults

CG_ADHOC_QUERY_READ

GetAdhocQueryResultContent

CG_ADHOC_QUERY_READ

CreateAdhocQuery

CG_ADHOC_QUERY_CREATE
cloud-guard-condition-metadata-types

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardConditionMetadataType

CG_CONDITION_METADATA_TYPES_INSPECT

GetCloudGuardConditionMetadataType

CG_CONDITION_METADATA_TYPES_READ
cloud-guard-config

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

GetCloudGuard

CG_CONFIG_INSPECT

CG_CONFIG_READ

UpdateCloudGuard

CG_CONFIG_UPDATE
Cloud-Schutzabdeckung

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

RequestSummarizedCoverage

CG_COVERAGE_INSPECT
cloud-guard-data-mask-rules

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateDataMaskRule

CG_DATA_MASK_RULE_CREATE

DeleteDataMaskRule

CG_DATA_MASK_RULE_DELETE

GetDataMaskRule

CG_DATA_MASK_RULE_READ

ListDataMaskRules

CG_DATA_MASK_RULE_INSPECT

UpdateDataMaskRule

CG_DATA_MASK_RULE_UPDATE
Cloud-Guard-Datenquellen

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ChangeDataSourceCompartment

CG_DATA_SOURCE_MOVE

CreateDataSource

CG_DATA_SOURCE_CREATE

DeleteDataSource

CG_DATA_SOURCE_DELETE

GetDataSource

CG_CONFIG_READ

ListDataSources

CG_DATA_SOURCE_INSPECT

UpdateDataSource

CG_DATA_SOURCE_UPDATE
cloud-guard-detectors

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardDetectors

CG_DETECTOR_INSPECT

ListCloudGuardDetectorRules

CG_DETECTOR_INSPECT

GetCloudGuardDetector

CG_DETECTOR_READ

GetCloudGuardDetectorRule

CG_DETECTOR_READ
cloud-guard-detector-recipes

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_INSPECT
GetCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_READ

CreateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_CREATE

UpdateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_UPDATE

DeleteCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_DELETE

ChangeDetectorRecipeCompartment

CG_DETECTOR_RECIPE_MOVE
Cloud-Guard-Detektor-Regel-Definitionen

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_CREATE

DeleteDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_DELETE

GetDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_READ

ListDetectorRuleDefinitions

CG_DETECTOR_RULE_DEFINITION_INSPECT

UpdateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_UPDATE
cloud-guard-findings

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateCloudGuardFinding

CG_FINDING_CREATE
cloud-guard-managed-lists

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardManagedLists

CG_MANAGED_LIST_INSPECT

ListCloudGuardManagedListTypes

CG_MANAGED_LIST_INSPECT

GetCloudGuardManagedList

CG_MANAGED_LIST_READ

CreateCloudGuardManagedList

CG_MANAGED_LIST_CREATE

UpdateCloudGuardManagedList

CG_MANAGED_LIST_UPDATE

DeleteCloudGuardManagedList

CG_MANAGED_LIST_DELETE

ChangeManagedListCompartment

CG_MANAGED_LIST_MOVE
cloud-guard-metadata

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListTactics

CG_METADATA_INSPECT

ListTechniques

CG_METADATA_INSPECT
cloud-guard-meta-data-sync

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

UpdateResourceSync

CG_METADATASYNC_UPDATE

GetMetaDataSyncStatus

CG_METADATASYNC_READ
cloud-guard-problems

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardProblems

CG_PROBLEM_INSPECT

ListCloudGuardProblemHistories

CG_PROBLEM_INSPECT

ListCloudGuardResponderActivities

CG_PROBLEM_INSPECT

GetCloudGuardProblem

CG_PROBLEM_READ

RequestCloudGuardSummarizedProblems

CG_PROBLEM_READ

RequestCloudGuardSummarizedTrendProblems

CG_PROBLEM_READ

ListCloudGuardImpactedResources

CG_PROBLEM_READ

UpdateCloudGuardBulkProblemStatus

CG_PROBLEM_UPDATE

UpdateCloudGuardProblemStatus

CG_PROBLEM_UPDATE

TriggerCloudGuardResponder

CG_PROBLEM_UPDATE
cloud-guard-recommendations

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardRecommendations

CG_RECOMMENDATION_INSPECT
cloud-guard-resource-profile

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

GetResourceProfile

CG_RESOURCE_PROFILE_READ

ListResourceProfileEndpoints

CG_RESOURCE_PROFILE_READ

ListResourceProfileImpactedResources

CG_RESOURCE_PROFILE_READ

ListResourceProfiles

CG_RESOURCE_PROFILE_INSPECT

RequestSummarizedTopTrendResourceRiskScores

CG_RESOURCE_PROFILE_READ

RequestSummarizedTrendResourceRiskScores

CG_RESOURCE_PROFILE_READ
cloud-guard-resource-types

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardResourceTypes

CG_RESOURCE_TYPES_INSPECT
cloud-guard-resource-view

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListResources

CG_RESOURCE_VIEW_INSPECT

GetResource

CG_RESOURCE_VIEW_READ
cloud-guard-responder-recipes

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_INSPECT

ListCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_INSPECT

GetCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_READ

GetCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_READ

CreateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_CREATE

UpdateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_UPDATE

ChangeCloudGuardResponderRecipeCompartment

CG_RESPONDER_RECIPE_UPDATE

UpdateCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_UPDATE

DeleteCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_DELETE

ChangeResponderRecipeCompartment

CG_RESPONDER_RECIPE_MOVE
cloud-guard-responder-rules

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardResponderRules

CG_RESPONDER_RULE_INSPECT

GetCloudGuardResponderRule

CG_RESPONDER_RULE_READ
cloud-guard-responder-executions

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_INSPECT

GetCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_READ

RequestCloudGuardSummarizedResponderExecutions

CG_RESPONDER_EXECUTION_READ

RequestCloudGuardSummarizedTrendResponderExecutions

CG_RESPONDER_EXECUTION_READ

ExecuteCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_UPDATE

SkipCloudGuardBulkResponderExecution

CG_RESPONDER_EXECUTION_UPDATE

SkipCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_UPDATE
cloud-guard-risk-scores

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

RequestCloudGuardSummarizedRiskScores

CG_RISK_SCORES_INSPECT

RequestCloudGuardRiskScores

CG_RISK_SCORES_INSPECT
cloud-guard-saved-query

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ChangeSavedQueryCompartment

CG_SAVED_QUERY_MOVE

CreateSavedQuery

CG_SAVED_QUERY_CREATE

DeleteSavedQuery

CG_SAVED_QUERY_DELETE

GetSavedQuery

CG_SAVED_QUERY_READ

ListSavedQueries

CG_SAVED_QUERY_INSPECT

UpdateSavedQuery

CG_SAVED_QUERY_INSPECT
cloud-guard-schemas

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateSchema

CG_SCHEMA_CREATE

DeleteSchema

CG_SCHEMA_DELETE

GetSchema

CG_SCHEMA_READ

ListSchemas

CG_SCHEMA_INSPECT

UpdateSchema

CG_SCHEMA_UPDATE
cloud-guard-security-scores

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

RequestCloudGuardSummarizedSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSummarizedTrendSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestSecurityScoreSummarizedTrend

CG_SECURITY_SCORES_INSPECT
Cloud-guard-service-logging

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateServiceLogging

CG_SERVICE_LOGGING_CREATE

DeleteServiceLogging

CG_SERVICE_LOGGING_DELETE

GetServiceLogging

CG_SERVICE_LOGGING_READ

UpdateCloudGuard

CG_SERVICE_LOGGING_CREATE
cloud-guard-signals

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CreateCloudGuardSignal

CG_SIGNAL_CREATE
cloud-guard-summary-event

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

AddSummaryEvent

CG_SUMMARY_EVENT_CREATE
cloud-guard-targets

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

ListCloudGuardTargets

CG_TARGET_INSPECT

ListCloudGuardTargetDetectorRecipes

CG_TARGET_INSPECT

ListCloudGuardTargetDetectorRecipeDetectorRules

CG_TARGET_INSPECT

GetCloudGuardTarget

CG_TARGET_READ

ListCloudGuardTargetResponderRecipes

CG_TARGET_READ

GetCloudGuardTargetResponderRecipe

CG_TARGET_READ

ListCloudGuardTargetResponderRecipeResponderRules

CG_TARGET_READ

GetCloudGuardTargetResponderRecipeResponderRule

CG_TARGET_READ

GetCloudGuardTargetDetectorRecipe

CG_TARGET_READ

GetCloudGuardTargetDetectorRecipeDetectorRule

CG_TARGET_READ

CreateCloudGuardTarget

CG_TARGET_CREATE

UpdateCloudGuardTarget

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRule

CG_TARGET_UPDATE

CreateCloudGuardTargetResponderRecipe

CG_TARGET_UPDATE

ChangeCloudGuardTargetResponderRecipeCompartment

CG_TARGET_UPDATE

UpdateCloudGuardTargetResponderRecipe

CG_TARGET_UPDATE

UpdateCloudGuardTargetResponderRecipeResponderRule

CG_TARGET_UPDATE

CreateCloudGuardTargetDetectorRecipe

CG_TARGET_UPDATE

ChangeCloudGuardTargetDetectorRecipeCompartment

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRecipe

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRecipeDetectorRule

CG_TARGET_UPDATE

DeleteCloudGuardTarget

CG_TARGET_DELETE

DeleteCloudGuardTargetResponderRecipe

CG_TARGET_DELETE

DeleteCloudGuardTargetDetectorRecipe

CG_TARGET_DELETE
cloud-guard-user-preferences

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

GetCloudGuardUserPreference

CG_USER_PREFERENCE_INSPECT

ReplaceCloudGuardUserPreference

CG_USER_PREFERENCE_UPDATE
Cloud-guard-work-Anforderungen

API-Vorgang

Für den Vorgang erforderliche Berechtigungen

CancelWorkRequest

CG_WORK_REQUEST_DELETE

GetWorkRequest

CG_WORK_REQUEST_READ

ListWorkRequestErrors

CG_WORK_REQUEST_READ

ListWorkRequestLogs

CG_WORK_REQUEST_READ

Sicherheitspolitik

API-Vorgang

Für den Vorgang erforderliche Berechtigungen
GetSecurityPolicy SECURITY_RECIPE_READ
security-recipe

API-Vorgang

Für den Vorgang erforderliche Berechtigungen
ListSecurityRecipes SECURITY_RECIPE_INSPECT
GetSecurityRecipe SECURITY_RECIPE_READ
CreateSecurityRecipe SECURITY_RECIPE_CREATE
UpdateSecurityRecipe SECURITY_RECIPE_UPDATE
DeleteSecurityRecipe SECURITY_RECIPE_DELETE
security-zone

API-Vorgang

Für den Vorgang erforderliche Berechtigungen
ListSecurityZones SECURITY_ZONE_INSPECT
GetSecurityZone SECURITY_ZONE_READ
CreateSecurityZone SECURITY_ZONE_CREATE
UpdateSecurityZone SECURITY_ZONE_UPDATE
DeleteSecurityZone SECURITY_ZONE_DELETE
AddCompartment SECURITY_ZONE_ATTACH
RemoveCompartment SECURITY_ZONE_DETACH

Policy erstellen

Schritte zum Erstellen einer Policy zur Unterstützung von Cloud Guard-REST-APIs.

So erstellen Sie eine Policy:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
  2. Wählen Sie Policy erstellen aus.
  3. Geben Sie einen Namen und eine Beschreibung für die Policy ein.
    Geben Sie dabei keine vertraulichen Informationen ein.
  4. Geben Sie im Feld Anweisung eine Policy-Regel im folgenden Format ein:

    allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>

  5. Wählen Sie Erstellen.

Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys und Policy-Referenz.

Policy-Beispiele

Erfahren Sie mit Beispielen mehr zu IAM-Cloud Guard-Policys.

  • Benutzer in der Gruppe SecurityAdmins können alle Cloud Guard-Ressourcen im gesamten Mandanten erstellen, aktualisieren und löschen:

    Allow group SecurityAdmins to manage cloud-guard-family in tenancy

  • Benutzern in der Gruppe SecurityAdmins das Erstellen, Aktualisieren und Löschen aller Sicherheitszonen und Rezepte im gesamten Mandanten erlauben:

    Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

  • Benutzern in der Gruppe SecurityAuditors das Anzeigen von Sicherheitszonen und Rezepten im Compartment SecurityArtifacts erlauben:

    Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Weitere Policy-Beispiele finden Sie unter Policy-Anweisungen für Benutzer.