Oracle Cloud Infrastructure-Dokumentation

Sicherheitsattribute

Ein security-Attribut ist ein Label, das in der Zero Trust Packet Routing-(ZPR-)Richtlinie referenziert werden kann, um den Zugriff auf unterstützte Ressourcen zu kontrollieren.

Wenn Sie ZPR aktivieren, wird ein Beispielsicherheitsattribut namens sensitivity im Sicherheitsattribut-Namespace oracle-zpr erstellt. Sie können das Sicherheitsattribut sensitivity ändern oder löschen.

Erforderliche Berechtigungen für das Arbeiten mit Sicherheitsattributen

Um ein Sicherheitsattribut für eine Ressource anzuwenden, zu aktualisieren oder zu entfernen, benötigen Benutzer Berechtigungen zur Ressource und Berechtigungen, um den Namespace für Sicherheitsattribute zu verwenden.

Benutzern muss der Zugriff use auf den Sicherheitsattribut-Namespace erteilt werden, damit sie ein Sicherheitsattribut für eine Ressource einspielen, aktualisieren oder entfernen können. Beispiel: So lassen Sie UserGroupA den Zugriff auf den Sicherheitsattribut-Namespace public zu:

Allow UserGroupA to use security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

So gestatten Sie UserGroupA den Zugriff auf alle Sicherheitsattribut-Namespaces in einem Mandanten: 

Allow UserGroupA to use security-attribute-namespaces in tenancy

Zusätzlich zu den Berechtigungen zum Arbeiten mit dem Sicherheitsattribut-Namespace muss der Benutzer auch die Berechtigung zum Aktualisieren der Ressource haben, um Sicherheitsattribute anzuwenden oder zu entfernen. Bei vielen Ressourcen wird die Berechtigung zum Aktualisieren mit dem Verb use erteilt. Beispiel: Benutzer, die Instanzen in CompartmentA verwenden können, können auch Sicherheitsattribute für Instanzen in CompartmentA anwenden, aktualisieren oder entfernen.

allow UserGroupA to use instance-family in tenancy

Einige Ressourcen enthalten nicht die Aktualisierungsberechtigung mit dem Verb use (verwenden). Um einer Gruppe das Einspielen, Aktualisieren oder Entfernen von Sicherheitsattributen für diese Ressourcen zu ermöglichen, ohne die vollständigen Verwaltungsberechtigungen zu erteilen, können Sie eine Policy-Anweisung hinzufügen, um nur die Berechtigung "<resource>_ update" mit dem Verb manage zu erteilen. Um der Gruppe NetworkUsers die Arbeit mit VCNs mit Sicherheitsattributen in CompartmentA zu ermöglichen, könnten Sie beispielsweise eine Policy wie die folgende schreiben:


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

Die Berechtigung inspect für eine Ressource erteilt Berechtigungen zum Anzeigen von Sicherheitsattributen für diese Ressource. Benutzer, die Instanzen prüfen können, können auch alle auf die Instanz angewendeten Sicherheitsattribute anzeigen.

Informationen zu Ressourcenberechtigungen finden Sie in der Policy-Referenz. Informationen zu ZPR-IAM-Policys finden Sie unter Zero Trust Packet Routing-IAM-Policys.

Sicherheitsattribute - Grundlagen

Sie können bis zu drei Sicherheitsattribute auf jede unterstützte Ressource anwenden. Weitere Informationen zu Limits in Zero Trust Packet Routing (ZPR) finden Sie unter Limits.

Sicherheitsattributnamen haben dieselben Benennungskonventionen wie Sicherheitsattribut-Namespaces. Für Sicherheitsattributnamen sind nur folgende Zeichen gültig:

  • 0-9
  • A-Z
  • a-z
  • - (ein Bindestrich)
  • _ (Unterstrich)

Sicherheitsattributnamen müssen mit einem Buchstaben a-z beginnen und innerhalb desselben Sicherheitsattribut-Namespace eindeutig sein. Bei Sicherheitsattributnamen wird die Groß-/Kleinschreibung nicht beachtet. Beispiel: mySecurityAttribute und mysecurityattribute sind im selben Namespace nicht zulässig. Wenn Sie einen Namen angeben, der bereits im Sicherheitsattribut-Namespace verwendet wird, wird eine Fehlermeldung angezeigt.

Jedes Sicherheitsattribut muss eine Beschreibung aufweisen. Beschreibungen müssen nicht eindeutig sein und können später aktualisiert werden.

Jedem Sicherheitsattribut wird je nachdem, wo sich das Sicherheitsattribut im Lebenszyklus befindet, ein Status zugewiesen:

ACTIVE
Das Sicherheitsattribut ist aktiv.
INACTIVE
Das Sicherheitsattribut wurde deaktiviert.
DELETING
Das Sicherheitsattribut wird gerade gelöscht.
DELETED
Das Sicherheitsattribut wird gelöscht.

Wenn Sie ein Sicherheitsattribut nicht mehr benötigen, können Sie es löschen. Um ein Sicherheitsattribut zu löschen, müssen Sie es zuerst einstellen. Nur ein deaktiviertes Sicherheitsattribut kann gelöscht werden.

Vorgänge, die Sie zur Verwaltung von Sicherheitsattributen ausführen können, finden Sie unter Sicherheitsattribute verwalten.

Sicherheitsattributwerte

Um Ressourcen weiter zu organisieren, weisen Sie einem Sicherheitsattribut Werte zu.

Beispiel: Um seine Ressourcen zu organisieren, wendet ein Unternehmen die folgenden Sicherheitsattribute an:

  • Anwendung
  • Netzwerke
  • Datenbanken

Um Ressourcen weiter zu kategorisieren, legt das Unternehmen die folgenden Wertetypen für die Sicherheitsattribute fest:

  • Anwendung
    • HR-Anwendung
    • Payroll-App
    • Benefits-App
  • Netzwerke
    • Front-Netzwerk
    • Back-Netzwerk
  • Datenbanken
    • autonomous-databases
    • cloud-autonom-vmclustersouth
    • cloud-vmclusters
    • db-systems

ZPR bietet die folgenden Optionen für die Anwendung von Werttypen auf Sicherheitsattribute:

Static
Der Benutzer gibt einen Wert ein.
Werteliste
Der Benutzer wählt aus einer Liste mit angegebenen Werten aus.

Sie können Wertetypen festlegen, wenn Sie ein Sicherheitsattribut erstellen oder aktualisieren oder wenn Sie Ihre geschützten Ressourcen verwalten.