Documentación de Oracle Cloud Infrastructure

Adición de atributos de seguridad a un destino de montaje

Utilizar el enrutamiento de paquetes de confianza cero con un destino de montaje.

Puede utilizar Zero Trust Packet Routing (ZPR) junto con grupos de seguridad de red o en lugar de ellos para gestionar el acceso de red a los recursos de OCI. Para ello, defina las políticas de ZPR que rigen la forma en que los recursos se comunican entre sí y, a continuación, agregue atributos de seguridad a esos recursos. Para obtener más información, consulte Zero Trust Packet Routing.
Atención

Si un punto final tiene un atributo de seguridad de enrutamiento de paquetes de confianza cero (ZPR), el tráfico al punto final debe cumplir las políticas de ZPR y también todas las reglas de NSG y lista de seguridad. Por ejemplo, si ya está utilizando NSG y agrega un atributo de seguridad a un punto final, todo el tráfico al punto final se bloquea. A partir de ese momento, una política ZPR debe permitir explícitamente el tráfico al punto final.

Política de IAM necesaria

Para utilizar ZPR con destinos de montaje de File Storage, cree una política de IAM que otorgue al servicio File Storage permiso para inspeccionar y utilizar el espacio de nombres de atributo de seguridad que necesita ZPR.

Por ejemplo, puede utilizar la siguiente política:

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

El nombre del usuario de servicio File Storage depende de su dominio. Para dominios con números de clave de dominio de 10 o menos, el patrón para el usuario del servicio File Storage es FssOc<n>Prod, donde n es el número de clave de dominio. Los dominios con un número de clave de dominio mayor que 10 tienen un usuario de servicio de fssocprod. Para obtener más información sobre los Dominios, consulte Acerca de las Regiones y los Dominios de Disponibilidad.

    1. En la página de lista Destinos de montaje de File Storage, seleccione el destino de montaje de File Storage con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el destino de montaje de File Storage, consulte List Mount Targets.
    2. En la página de detalles, seleccione el separador Seguridad y, a continuación, seleccione Agregar atributo de seguridad.
    3. En el panel Agregar atributo de seguridad, introduzca la siguiente información:
      • Espacio de nombres de atributo de seguridad: un espacio de nombres de atributo de seguridad es un contenedor de un juego de atributos de seguridad en Zero Trust Packet Routing (ZPR).
      • Clave de atributo de seguridad: nombre de un atributo de seguridad específico.
      • Valor de atributo de seguridad: valor de un atributo de seguridad específico.

      Estos valores deben coincidir con una política ZPR existente. Para obtener más información sobre los atributos de seguridad y los espacios de nombres de atributos de seguridad, consulte Enrutamiento de paquetes de confianza cero.

    4. Cuando haya terminado, seleccione Agregar atributos de seguridad.

  • Utilice el comando fs mount-target update y los parámetros necesarios para agregar asociaciones de seguridad a un destino de montaje:

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación UpdateMountTarget para agregar asociaciones de seguridad a un destino de montaje.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.