Oracle Cloud Infrastructure-Dokumentation

IAM-Policys für Zero Trust Packet Routing

Mit dem Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service können Sie Policys erstellen, um den Zugriff auf den Zero Trust Packet Routing-(ZPR-)Service zu kontrollieren.

Informationen zu IAM-Policys für Networking und Compute finden Sie unter Details zu den Coreservices.

Individueller Ressourcentyp

zpr-policy

zpr-security-attribute

Aggregierte Ressourcentypen

zpr-family

security-attribute-family

Eine Policy, die einen aggregierten Ressourcentyp verwendet, z.B. <verb> zpr-family, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für jeden einzelnen individuellen Ressourcentyp.

See the table in Details for Verbs + Resource-Type Combinations for detailed information about the API operations covered by each verb, for each individual resource-type included in zpr-family and security-attribute-family.

Unterstützte Variablen

Zero Trust Packet Routing unterstützt alle allgemeinen Variablen sowie die hier aufgeführten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Details zu Kombinationen aus Verben und Ressourcentyp.

Variable Variablentyp Anmerkungen
target.security-attribute-namespace.name String Mit dieser Variablen können Sie steuern, ob Vorgänge für einen bestimmten Sicherheitsattribut-Namespace als Antwort auf eine Anforderung zum Lesen, Aktualisieren, Löschen oder Verschieben eines Sicherheitsattribut-Namespace zulässig sind oder ob Informationen zu Arbeitsanforderungen für einen Sicherheitsattribut-Namespace angezeigt werden.
target.security-attribute-namespace.id Entity Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp "security-attribute-namespaces" erteilen.

Details zu Kombinationen aus Verben und Ressourcentypen

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während no extra keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcestyp zpr-policy enthält dieselben Berechtigungen und API-Vorgänge wie das Verb inspect, aber auch den API-VorgangGetZprPolicy. Ebenso enthält das Verb manage für den Ressourcestyp zpr-policy im Vergleich zur Berechtigung use noch weitere Berechtigungen. Für den Ressourcentyp zpr-policy umfasst das Verb manage dieselben Berechtigungen und API-Vorgänge wie das Verb use sowie die Berechtigungen ZPR_POLICY_CREATE und ZPR_POLICY_DELETE sowie die entsprechenden API-Vorgänge (CreateZprPolicy und DeleteZprPolicy).

zpr-Policy
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

ZPR_POLICY_INSPECT

ListZprPolicies

ListZprPolicyWorkRequests

keiner
lesen

INSPECT +

ZPR_POLICY_READ

INSPECT +

GetZprPolicy

GetZprPolicyWorkRequest

ListZprPolicyWorkRequestErrors

ListZprPolicyWorkRequestLogs

keiner
verwenden

READ +

ZPR_POLICY_UPDATE

UpdateZprPolicy

 

keiner
verwalten

USE +

ZPR_POLICY_CREATE

ZPR_POLICY_DELETE

USE +

CreateZprPolicy

DeleteZprPolicy

keiner
zpr-Konfiguration
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

keiner
lesen

INSPECT +

ZPR_CONFIGURATION_READ

INSPECT +

GetConfiguration

GetZprConfigurationWorkRequest

ListZprConfigurationWorkRequests

ListZprConfigurationWorkRequestErrors

ListZprConfigurationWorkRequestLogs

keiner
verwenden

READ +

ZPR_CONFIGURATION_UPDATE

UpdateConfiguration

 

keiner
verwalten

USE +

ZPR_CONFIGURATION_CREATE

ZPR_CONFIGURATION_DELETE

USE +

CreateConfiguration

DeleteConfiguration

keiner
security-attribute-namespace
Verte Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttributeNamespace

ReadSecurityAttribute

SecurityAttributeWorkRequest

keiner
lesen

INSPECT +

SECURITY_ATTRIBUTE_NAMESPACE_READ

INSPECT +

ReadSecurityAttributeNamespace

ReadSecurityAttribute

keiner
verwenden

READ +

SECURITY_ATTRIBUTE_NAMESPACE_USE

 

keiner
verwalten

USE +

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

ZPR_CONFIGURATION_DELETE

USE +

CreateSecurityAttributeNamespace

DeleteSecurityAttributeNamespace

CascadeDeleteSecurityAttributeNamespace

DeleteSecurityAttribute

ChangeCompartment für SecurityAttributeNamespace

UpdateSecurityAttributeNamespace

CreateSecurityAttribute

UpdateSecurityAttribute

keiner

Für jeden API-Vorgang erforderliche Berechtigungen

In den folgenden Abschnitten werden die API-Vorgänge für Zero Trust Packet Routing und die API für Sicherheitsattribute aufgeführt.

API-Vorgänge für Zero Trust Packet Routing

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgänge Für den Vorgang erforderliche Berechtigungen

ListZprPolicies

ListZprPolicyWorkRequests

 ZPR_POLICY_INSPECT
CreateZprPolicy ZPR_POLICY_CREATE

GetZprPolicy

 ZPR_POLICY_READ

GetZprPolicyWorkRequest

 ZPR_POLICY_READ

ListZprPolicyWorkRequestErrors

 ZPR_POLICY_READ

ListZprPolicyWorkRequestLogs

 ZPR_POLICY_READ
UpdateZprPolicy ZPR_POLICY_UPDATE
DeleteZprPolicy ZPR_POLICY_DELETE
CreateConfiguration ZPR_CONFIGURATION_CREATE

GetConfiguration

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequests

 ZPR_CONFIGURATION_READ

GetZprConfigurationWorkRequest

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestErrors

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestLogs

 ZPR_CONFIGURATION_READ
UpdateConfiguration ZPR_CONFIGURATION_UPDATE
DeleteConfiguration ZPR_CONFIGURATION_DELETE
API-Vorgänge für Sicherheitsattribute

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgänge Für den Vorgang erforderliche Berechtigungen
CreateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

DeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

CascadeDeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

DeleteSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

SecurityAttributeWorkRequest

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
ChangeSecurityAttributeNamespaceCompartment SECURITY_ATTRIBUTE_NAMESPACE_MOVE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_READ

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_READ

UpdateSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

CreateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_USE

Policy-Beispiele

In den folgenden Beispielen erhalten Sie Informationen zu IAM-Policys für Zero Trust Packet Routing.

Um den Zero Trust Packet Routing-(ZPR-)Service verwenden zu können, benötigen Benutzer die folgenden Berechtigungen für andere Oracle Cloud Infrastructure-Ressourcen:

  • Compute-Instanzen lesen
  • Datenbankressourcen lesen
  • Arbeitsanforderungen prüfen

Weitere Informationen finden Sie unter Details zu den Coreservices, einschließlich Networking und Compute.

Beispiele für ZPR-IAM-Policys

  • Benutzern in der Gruppe SecurityAdmins erlauben, alle ZPR-Policys im gesamten Mandanten zu erstellen, zu aktualisieren und zu löschen:

    Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

  • Benutzern in der Gruppe SecurityAuditors das Anzeigen aller ZPR-Ressourcen im Mandanten erlauben:

    Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

  • Lassen Sie zu, dass die Gruppe app-admin nur den Sicherheitsattribut-Namespace applications und die Gruppe database-admin nur den Sicherheitsattribut-Namespace database verwaltet.

    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'
    und
    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'