IAM-Policys für Zero Trust Packet Routing

Mit dem Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service können Sie Policys erstellen, um den Zugriff auf den Zero Trust Packet Routing-(ZPR-)Service zu kontrollieren.

Informationen zu IAM-Policys für Networking und Compute finden Sie unter Details zu den Coreservices.

Individueller Ressourcentyp

zpr-policy

zpr-security-attribute

Unterstützte Variablen

Zero Trust Packet Routing unterstützt alle allgemeinen Variablen sowie die hier aufgeführten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Details zu Kombinationen aus Verben und Ressourcentyp.


Variable	Variablentyp	Anmerkungen
`target.security-attribute-namespace.name`	String	Mit dieser Variablen können Sie steuern, ob Vorgänge für einen bestimmten Sicherheitsattribut-Namespace als Antwort auf eine Anforderung zum Lesen, Aktualisieren, Löschen oder Verschieben eines Sicherheitsattribut-Namespace zulässig sind oder ob Informationen zu Arbeitsanforderungen für einen Sicherheitsattribut-Namespace angezeigt werden.
`target.security-attribute-namespace.id`	Entity	Diese Variable wird nur in Anweisungen unterstützt, die Berechtigungen für den Ressourcentyp "security-attribute-namespaces" erteilen.

Details zu Kombinationen aus Verben und Ressourcentypen

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während no extra keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb read für den Ressourcestyp zpr-policy enthält dieselben Berechtigungen und API-Vorgänge wie das Verb inspect, aber auch den API-VorgangGetZprPolicy. Ebenso enthält das Verb manage für den Ressourcestyp zpr-policy im Vergleich zur Berechtigung use noch weitere Berechtigungen. Für den Ressourcentyp zpr-policy umfasst das Verb manage dieselben Berechtigungen und API-Vorgänge wie das Verb use sowie die Berechtigungen ZPR_POLICY_CREATE und ZPR_POLICY_DELETE sowie die entsprechenden API-Vorgänge (CreateZprPolicy und DeleteZprPolicy).

zpr-Policy


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	ZPR_POLICY_INSPECT	`ListZprPolicies` `ListZprPolicyWorkRequests`	keiner
lesen	INSPECT + ZPR_POLICY_READ	INSPECT + `GetZprPolicy` `GetZprPolicyWorkRequest` `ListZprPolicyWorkRequestErrors` `ListZprPolicyWorkRequestLogs`	keiner
verwenden	READ + ZPR_POLICY_UPDATE	`UpdateZprPolicy`	keiner
verwalten	USE + ZPR_POLICY_CREATE ZPR_POLICY_DELETE	USE + `CreateZprPolicy` `DeleteZprPolicy`	keiner

zpr-Konfiguration


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect			keiner
lesen	INSPECT + ZPR_CONFIGURATION_READ	INSPECT + `GetConfiguration` `GetZprConfigurationWorkRequest` `ListZprConfigurationWorkRequests` `ListZprConfigurationWorkRequestErrors` `ListZprConfigurationWorkRequestLogs`	keiner
verwenden	READ + ZPR_CONFIGURATION_UPDATE	`UpdateConfiguration`	keiner
verwalten	USE + ZPR_CONFIGURATION_CREATE ZPR_CONFIGURATION_DELETE	USE + `CreateConfiguration` `DeleteConfiguration`	keiner

security-attribute-namespace


Verte	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT	`ReadSecurityAttributeNamespace` `ReadSecurityAttribute` `SecurityAttributeWorkRequest`	keiner
lesen	INSPECT + SECURITY_ATTRIBUTE_NAMESPACE_READ	INSPECT + `ReadSecurityAttributeNamespace` `ReadSecurityAttribute`	keiner
verwenden	READ + SECURITY_ATTRIBUTE_NAMESPACE_USE		keiner
verwalten	USE + SECURITY_ATTRIBUTE_NAMESPACE_CREATE SECURITY_ATTRIBUTE_NAMESPACE_DELETE SECURITY_ATTRIBUTE_NAMESPACE_MOVE SECURITY_ATTRIBUTE_NAMESPACE_UPDATE ZPR_CONFIGURATION_DELETE	USE + `CreateSecurityAttributeNamespace` `DeleteSecurityAttributeNamespace` `CascadeDeleteSecurityAttributeNamespace` `DeleteSecurityAttribute` `ChangeCompartment` für `SecurityAttributeNamespace` `UpdateSecurityAttributeNamespace` `CreateSecurityAttribute` `UpdateSecurityAttribute`	keiner

Für jeden API-Vorgang erforderliche Berechtigungen

In den folgenden Abschnitten werden die API-Vorgänge für Zero Trust Packet Routing und die API für Sicherheitsattribute aufgeführt.

API-Vorgänge für Zero Trust Packet Routing

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgänge	Für den Vorgang erforderliche Berechtigungen
`ListZprPolicies` `ListZprPolicyWorkRequests`	ZPR_POLICY_INSPECT
`CreateZprPolicy`	ZPR_POLICY_CREATE
`GetZprPolicy`	ZPR_POLICY_READ
`GetZprPolicyWorkRequest`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestErrors`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestLogs`	ZPR_POLICY_READ
`UpdateZprPolicy`	ZPR_POLICY_UPDATE
`DeleteZprPolicy`	ZPR_POLICY_DELETE
`CreateConfiguration`	ZPR_CONFIGURATION_CREATE
`GetConfiguration`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequests`	ZPR_CONFIGURATION_READ
`GetZprConfigurationWorkRequest`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestErrors`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestLogs`	ZPR_CONFIGURATION_READ
`UpdateConfiguration`	ZPR_CONFIGURATION_UPDATE
`DeleteConfiguration`	ZPR_CONFIGURATION_DELETE

API-Vorgänge für Sicherheitsattribute

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgänge	Für den Vorgang erforderliche Berechtigungen
`CreateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_CREATE
`DeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`CascadeDeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`DeleteSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`SecurityAttributeWorkRequest`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ChangeSecurityAttributeNamespaceCompartment`	SECURITY_ATTRIBUTE_NAMESPACE_MOVE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`UpdateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`CreateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_USE

Policy-Beispiele

In den folgenden Beispielen erhalten Sie Informationen zu IAM-Policys für Zero Trust Packet Routing.

Um den Zero Trust Packet Routing-(ZPR-)Service verwenden zu können, benötigen Benutzer die folgenden Berechtigungen für andere Oracle Cloud Infrastructure-Ressourcen:

Compute-Instanzen lesen
Datenbankressourcen lesen
Arbeitsanforderungen prüfen

Weitere Informationen finden Sie unter Details zu den Coreservices, einschließlich Networking und Compute.

Beispiele für ZPR-IAM-Policys

Benutzern in der Gruppe SecurityAdmins erlauben, alle ZPR-Policys im gesamten Mandanten zu erstellen, zu aktualisieren und zu löschen:

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

Benutzern in der Gruppe SecurityAuditors das Anzeigen aller ZPR-Ressourcen im Mandanten erlauben:

Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

Lassen Sie zu, dass die Gruppe app-admin nur den Sicherheitsattribut-Namespace applications und die Gruppe database-admin nur den Sicherheitsattribut-Namespace database verwaltet.

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'

und

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'