Oracle Cloud Infrastructure-Dokumentation

IAM-Policys für Zero Trust Packet Routing

Mit dem Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service können Sie Policys erstellen, um den Zugriff auf den Zero Trust Packet Routing-(ZPR-)Service zu kontrollieren.

Informationen zu IAM-Policys für Networking und Compute finden Sie unter Details zu den Coreservices.

Individueller Ressourcentyp

zpr-policy

zpr-security-attribute

Aggregierte Ressourcentypen

zpr-family

security-attribute-family

Eine Policy, die einen aggregierten Ressourcentyp verwendet, z.B. <verb> zpr-family, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für jeden einzelnen individuellen Ressourcentyp.

Ausführliche Informationen zu den API-Vorgängen, die von jedem Verb für jeden individuellen Ressourcentyp in zpr-family und security-attribute-family abgedeckt werden, finden sie in der Tabelle in Details für Kombinationen von Verben + Ressourcentyp.

Unterstützte Variablen

Zero Trust Packet Routing unterstützt alle allgemeinen Variablen sowie die hier aufgeführten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Details zu Kombinationen aus Verben und Ressourcentyp.

Variable Variablentyp Anmerkungen
target.security-attribute-namespace.name String Mit dieser Variablen können Sie steuern, ob Vorgänge für einen bestimmten Sicherheitsattribut-Namespace als Antwort auf eine Anforderung zum Lesen, Aktualisieren, Löschen oder Verschieben eines Sicherheitsattribut-Namespace zulässig sind oder ob Informationen zu Arbeitsanforderungen für einen Sicherheitsattribut-Namespace angezeigt werden.
target.security-attribute-namespace.id Entity Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp "security-attribute-namespaces" erteilen.

Details zu Kombinationen aus Verben und Ressourcentypen

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während no extra keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcestyp zpr-policy enthält dieselben Berechtigungen und API-Vorgänge wie das Verb inspect, aber auch den API-VorgangGetZprPolicy. Ebenso enthält das Verb manage für den Ressourcestyp zpr-policy im Vergleich zur Berechtigung use noch weitere Berechtigungen. Für den Ressourcentyp zpr-policy umfasst das Verb manage dieselben Berechtigungen und API-Vorgänge wie das Verb use sowie die Berechtigungen ZPR_POLICY_CREATE und ZPR_POLICY_DELETE sowie die entsprechenden API-Vorgänge (CreateZprPolicy und DeleteZprPolicy).

zpr-Policy
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

ZPR_POLICY_INSPECT

ListZprPolicies

ListZprPolicyWorkRequests

keiner
lesen

INSPECT +

ZPR_POLICY_READ

INSPECT +

GetZprPolicy

GetZprPolicyWorkRequest

ListZprPolicyWorkRequestErrors

ListZprPolicyWorkRequestLogs

keiner
verwenden

READ +

ZPR_POLICY_UPDATE

UpdateZprPolicy

keiner
verwalten

USE +

ZPR_POLICY_CREATE

ZPR_POLICY_DELETE

USE +

CreateZprPolicy

DeleteZprPolicy

keiner
zpr-Konfiguration
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

keiner
lesen

INSPECT +

ZPR_CONFIGURATION_READ

INSPECT +

GetConfiguration

GetZprConfigurationWorkRequest

ListZprConfigurationWorkRequests

ListZprConfigurationWorkRequestErrors

ListZprConfigurationWorkRequestLogs

keiner
verwenden

READ +

ZPR_CONFIGURATION_UPDATE

UpdateConfiguration

keiner
verwalten

USE +

ZPR_CONFIGURATION_CREATE

ZPR_CONFIGURATION_DELETE

USE +

CreateConfiguration

DeleteConfiguration

keiner
security-attribute-namespace
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttributeNamespace

ReadSecurityAttribute

SecurityAttributeWorkRequest

keiner
lesen

INSPECT +

SECURITY_ATTRIBUTE_NAMESPACE_READ

INSPECT +

ReadSecurityAttributeNamespace

ReadSecurityAttribute

keiner
verwenden

READ +

SECURITY_ATTRIBUTE_NAMESPACE_USE

keiner
verwalten

USE +

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

ZPR_CONFIGURATION_DELETE

USE +

CreateSecurityAttributeNamespace

DeleteSecurityAttributeNamespace

CascadeDeleteSecurityAttributeNamespace

DeleteSecurityAttribute

ChangeCompartment für SecurityAttributeNamespace

UpdateSecurityAttributeNamespace

CreateSecurityAttribute

UpdateSecurityAttribute

keiner

Für jeden API-Vorgang erforderliche Berechtigungen

In den folgenden Abschnitten werden die API-Vorgänge für Zero Trust Packet Routing und die API für Sicherheitsattribute aufgeführt.

Zero Trust Packet Routing-API-Vorgänge

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgänge Für den Vorgang erforderliche Berechtigungen

ListZprPolicies

ListZprPolicyWorkRequests

ZPR_POLICY_INSPECT

CreateZprPolicy

ZPR_POLICY_CREATE

GetZprPolicy

ZPR_POLICY_READ

GetZprPolicyWorkRequest

ZPR_POLICY_READ

ListZprPolicyWorkRequestErrors

ZPR_POLICY_READ

ListZprPolicyWorkRequestLogs

ZPR_POLICY_READ

UpdateZprPolicy

ZPR_POLICY_UPDATE

DeleteZprPolicy

ZPR_POLICY_DELETE

CreateConfiguration

ZPR_CONFIGURATION_CREATE

GetConfiguration

ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequests

ZPR_CONFIGURATION_READ

GetZprConfigurationWorkRequest

ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestErrors

ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestLogs

ZPR_CONFIGURATION_READ

UpdateConfiguration

ZPR_CONFIGURATION_UPDATE

DeleteConfiguration

ZPR_CONFIGURATION_DELETE
API-Vorgänge für Sicherheitsattribute

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgänge Für den Vorgang erforderliche Berechtigungen

CreateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

DeleteSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

CascadeDeleteSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

DeleteSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

ReadSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

SecurityAttributeWorkRequest

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ChangeSecurityAttributeNamespaceCompartment

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

ReadSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_READ

ReadSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_READ

UpdateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

CreateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_USE

Policy-Beispiele

In den folgenden Beispielen erhalten Sie Informationen zu IAM-Policys für Zero Trust Packet Routing.

Um den Zero Trust Packet Routing-(ZPR-)Service verwenden zu können, benötigen Benutzer die folgenden Berechtigungen für andere Oracle Cloud Infrastructure-Ressourcen:

  • Compute-Instanzen lesen
  • Datenbankressourcen lesen
  • Arbeitsanforderungen prüfen

Weitere Informationen finden Sie unter Details zu den Coreservices, einschließlich Networking und Compute.

Beispiele für ZPR-IAM-Policys

  • Benutzern in der Gruppe SecurityAdmins erlauben, alle ZPR-Policys im gesamten Mandanten zu erstellen, zu aktualisieren und zu löschen:

    Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

  • Benutzern in der Gruppe SecurityAuditors das Anzeigen aller ZPR-Ressourcen im Mandanten erlauben:

    Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

  • Lassen Sie zu, dass die Gruppe app-admin nur den Sicherheitsattribut-Namespace applications und die Gruppe database-admin nur den Sicherheitsattribut-Namespace database verwaltet.

    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'
    und
    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'