Netzwerkfirewall-IAM-Policys
Erstellen Sie Sicherheits-Policys in Oracle Cloud Infrastructure Identity and Access Management (IAM).
Standardmäßig können nur die Benutzer in der Gruppe Administrators auf alle Ressourcen und Funktionen im Netzwerkfirewallservice zugreifen. Um den Zugriff von Benutzern ohne Administratorrechte auf Netzwerkfirewallressourcen und -funktionen zu kontrollieren, erstellen Sie IAM-Gruppen und schreiben Sie dann Policys, um Benutzergruppen den Zugriff zu erteilen.
Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz.
Ressourcentypen
Netzwerkfirewall bietet sowohl aggregierte als auch einzelne Ressourcentypen zum Schreiben von Policys.
Sie können aggregierte Ressourcentypen verwenden, um weniger Policys zu schreiben. Beispiel: Anstatt einer Gruppe das Verwalten von network-firewall und network-firewall-policy zu erlauben, können Sie über eine Policy zulassen, dass die Gruppe den aggregierten Ressourcentyp network-firewall-family verwalten kann.
| Aggregierter Ressourcentyp | Individuelle Ressourcentypen |
|---|---|
network-firewall-family |
|
Die für den aggregierten Ressourcentyp network-firewall-family abgedeckten APIs decken die APIs für work-requests ab.
Unterstützte Variablen
Lesen Sie, welche Variablen von Oracle Cloud Infrastructure Network Firewall unterstützt werden.
Netzwerkfirewall unterstützt alle allgemeinen Variablen. Siehe Allgemeine Variablen für alle Anforderungen.
Details zu Kombinationen aus Verben und Ressourcentypen
Es gibt verschiedene Oracle Cloud Infrastructure-Verben und -Ressourcentypen, mit denen Sie eine Policy erstellen können.
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb für Netzwerkfirewall abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
Keine |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
Keine |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (erfordert auch use network-firewall-policy, um die Firewall-Policy zu ändern, und use network-security-groups, um die zugehörigen NSGs zu ändern). |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
Erfordert auch Leseberechtigung für Wenn mit der Firewall Netzwerksicherheitsgruppen (NSGs) verknüpft sind, ist auch DeleteNetworkFirewall Erfordert auch Wenn mit der Firewall Netzwerksicherheitsgruppen (NSGs) verknüpft sind, ist auch Die obigen Netzwerkvorgänge werden mit der Anweisung |
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
Keine |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
Keine |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (erfordert auch use network-firewall, um die Firewall zu ändern, mit der sie verknüpft ist). |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
Keine |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge für Oracle Cloud Infrastructure Network Firewall in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
In dieser Tabelle werden die API-Vorgänge in logischer Reihenfolge nach Ressourcentyp gruppiert und die für network-firewall und network-firewall-policy erforderlichen Berechtigungen aufgeführt:
| API-Vorgang | Berechtigungen |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (zum Anhängen einer Policy an Firewall) Für die Verwendung von NAT auf der Firewall erforderliche Berechtigungen PRIVATE_IP_READ (Subnetz-Compartment) + PRIVATE_IP_CREATE (Subnetz-Compartment) + PRIVATE_IP_ASSIGN (Subnetz-Compartment) + VNIC_ASSIGN (Subnetz-Compartment) + PRIVATE_IP_DELETE (Subnetz-Compartment) + PRIVATE_IP_UNASSIGN (Subnetz-Compartment) + VNIC_UNASSIGN Subnetz (Subnetz-Compartment) + SUBNET_DETACH (Subnetz-Compartment) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (zum Aktualisieren der Policy-Verknüpfung) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (zum Aktualisieren zugehöriger NSGs) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (zum Aktualisieren der NSG-Verknüpfungen) Für die Verwendung von NAT auf der Firewall erforderliche Berechtigungen PRIVATE_IP_READ (Subnetz-Compartment) + PRIVATE_IP_CREATE (Subnetz-Compartment) + PRIVATE_IP_ASSIGN (Subnetz-Compartment) + VNIC_ASSIGN (Subnetz-Compartment) + SUBNET_ATTACH (Subnetz-Compartment) + VNIC_ASSIGN (Subnetz-Compartment) + PRIVATE_IP_DELETE (Subnetz-Compartment) + PRIVATE_IP_UNASSIGN (Subnetz-Compartment) + SUBNET_DETACH (Subnetz-Compartment) + VNIC_UNASSIGN Subnetz (Subnetz-Compartment) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (vnic-Compartment) + VNIC_ATTACHMENT_READ (vnic-Compartment) + SUBNET_DETACH (Subnetz-Compartment) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (zum Aktualisieren der zugehörigen NSGs) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (zum Aktualisieren der NSG-Verknüpfungen) Für die Verwendung von NAT auf der Firewall erforderliche Berechtigungen PRIVATE_IP_READ (Subnetz-Compartment) + PRIVATE_IP_DELETE (Subnetz-Compartment) + PRIVATE_IP_UNASSIGN (Subnetz-Compartment) + VNIC_UNASSIGN-Subnetz (Subnetz-Compartment) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
IAM-Policys für den Netzwerkfirewallservice erstellen
Erfahren Sie, wie Sie Identity and Access Management-(IAM-)Policys für den Netzwerkfirewallservice erstellen.
Um Policys für eine Benutzergruppe zu erstellen, müssen Sie den Namen der IAM-Gruppe kennen.
So erstellen Sie eine Policy:
- Navigieren Sie im Navigationsmenü der Konsole zu ID und Sicherheit, und wählen Sie unter ID die Option Policys aus.
- Wählen Sie Policy erstellen aus.
- Geben Sie einen Namen und eine Beschreibung (optional) für die Policy ein.
- Wählen Sie das Compartment aus, in dem die Policy erstellt werden soll.
- Wählen Sie Manuellen Editor anzeigen aus. Geben Sie dann die erforderlichen Policy-Anweisungen ein.
- (Optional) Wählen Sie Weitere Policy erstellen aus, um nach dem Erstellen dieser Policy auf der Seite "Policy erstellen" zu bleiben.
- Klicken Sie auf Erstellen.
Siehe auch Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.
Allgemeine IAM-Policy für den Netzwerkfirewallservice
Mit dieser IAM-Policy können Sie Netzwerkfirewallressourcen erstellen und verwalten.
Zulassen, dass Benutzergruppen Firewalls und Firewall-Policys erstellen, ändern und löschen
Zugriffstyp: Bietet die Möglichkeit, eine Firewall oder Firewall-Policy zu erstellen, zu ändern oder zu löschen. Zu den administrativen Funktionen für Firewalls oder Firewall-Policys gehört die Fähigkeit, sie zu erstellen, zu aktualisieren oder zu löschen.
Wo wird die Policy erstellt: Im Mandanten, sodass die Möglichkeit, eine Firewallressource zu erstellen, zu ändern oder zu löschen, allen Compartments durch Policy-Vererbung erteilt wird. Um den Geltungsbereich auf Firewalls in einem bestimmten Compartment einzuschränken, geben Sie dieses Compartment anstelle des Mandanten an.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>