Políticas de IAM de Network Firewall
Cree políticas de seguridad en Oracle Cloud Infrastructure Identity and Access Management (IAM).
Por defecto, solo los usuarios del grupo Administrators pueden acceder a todos los recursos y funciones del servicio Network Firewall. Para controlar el acceso de usuarios que no sean administradores a los recursos y funciones de Network Firewall, cree grupos de IAM y, a continuación, escriba políticas para otorgar acceso a los grupos de usuarios.
Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.
Tipos de recursos
Network Firewall ofrece tipos de recursos tanto agregados como individuales para escribir políticas.
Puede utilizar los tipos de recurso agregados para escribir menos políticas. Por ejemplo, en lugar de permitir que un grupo gestione network-firewall y network-firewall-policy, puede escribir una política que permita al grupo gestionar el tipo de recurso agregado, network-firewall-family.
| Tipo de recurso agregado | Tipos de recursos individuales |
|---|---|
network-firewall-family |
|
Las API cubiertas para el tipo de recurso network-firewall-family agregado cubren las API para work-requests.
Variables soportadas
Lea qué variables soporta Oracle Cloud Infrastructure Network Firewall.
Network Firewall soporta todas las variables generales. Consulte Variables generales para todas las solicitudes.
Detalles de las combinaciones de verbo + tipo de recurso
Existen varios verbos y tipos de recurso de Oracle Cloud Infrastructure que puede utilizar para crear una política.
En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo de Network Firewall. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
ninguna |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
ninguna |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (también necesita use network-firewall-policy para cambiar la política de firewall y use network-security-groups para cambiar los NSG asociados. |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
también necesita leer Si hay grupos de seguridad de red (NSG) asociados al firewall, también necesita DeleteNetworkFirewall también necesita Si hay grupos de seguridad de red (NSG) asociados al firewall, también necesita Las operaciones de red anteriores están totalmente cubiertas con solo |
| Verbos | Permisos | API totalmente cubiertas | API parcialmente cubiertas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
ninguna |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
ninguna |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (también necesita use network-firewallpara cambiar el firewall al que está asociado. |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
ninguna |
Permisos necesarios para cada operación de API
En la siguiente tabla se muestran las operaciones de API para Oracle Cloud Infrastructure Network Firewall en orden lógico y agrupadas por tipo de recurso.
En esta tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso y los permisos necesarios para network-firewall y network-firewall-policy:
| Operación de API | Permisos |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (para asociar la política al firewall) Permisos necesarios para utilizar NAT en el firewall PRIVATE_IP_READ (Compartimento de la subred) + PRIVATE_IP_CREATE (Compartimento de la subred) + PRIVATE_IP_ASSIGN (Compartimento de la subred) + VNIC_ASSIGN (Compartimento de la subred) + PRIVATE_IP_DELETE (Compartimento de la subred) + PRIVATE_IP_UNASSIGN (Compartimento de la subred) + VNIC_UNASSIGN (Compartimento de la subred) + SUBNET_DETACH (Compartimento de la subred) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (para actualizar la asociación de políticas) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para actualizar los NSG asociados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para actualizar las asociaciones de NSG) Permisos necesarios para utilizar NAT en el firewall PRIVATE_IP_READ (Compartimento de la subred) + PRIVATE_IP_CREATE (Compartimento de la subred) + PRIVATE_IP_ASSIGN (Compartimento de la subred) + VNIC_ASSIGN (Compartimento de la subred) + SUBNET_ATTACH (Compartimento de la subred) + VNIC_ASSIGN (Compartimento de la subred) + PRIVATE_IP_DELETE (Compartimento de la subred) + PRIVATE_IP_UNASSIGN (Compartimento de la subred) + SUBNET_DETACH (Compartimento de la subred) + VNIC_UNASSIGN Subnet (Compartimento de la subred) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartimento de VNIC) + VNIC_ATTACHMENT_READ (compartimento de VNIC) + SUBNET_DETACH (compartimento de subred) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para actualizar los NSG asociados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para actualizar las asociaciones de NSG) Permisos necesarios para utilizar NAT en el firewall PRIVATE_IP_READ (compartimento de la subred) + PRIVATE_IP_DELETE (compartimento de la subred) + PRIVATE_IP_UNASSIGN (compartimento de la subred) + VNIC_UNASSIGN Subnet (compartimento de la subred) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Creación de políticas de IAM para el servicio Network Firewall
Descubra cómo crear políticas de Identity and Access Management (IAM) para el servicio Network Firewall.
Para crear políticas para un grupo de usuarios, debe conocer el nombre del grupo de IAM.
Para crear una política:
- En el menú de navegación de la consola, vaya a Identity & Security y, a continuación, en Identity, seleccione Policies.
- Seleccione Crear política.
- Introduzca un Nombre y una Descripción para la política.
- Seleccione el compartimento en el que crear la política.
- Seleccione Mostrar editor manual. A continuación, introduzca las sentencias de políticas que necesita.
- (Opcional) Seleccione Create Another Policy para permanecer en la página Create Policy después de crear esta política.
- Haga clic en Crear.
Consulte también Cómo funcionan las políticas, Sintaxis de las políticas y Referencia de políticas.
Política de IAM común para el servicio Network Firewall
Utilice esta política de IAM para crear y gestionar recursos de Network Firewall.
Permitir a los grupos de usuarios crear, cambiar y suprimir firewalls y políticas de firewall
Tipo de acceso: capacidad para crear, cambiar o suprimir un firewall o una política de firewall. Las funciones administrativas para los firewalls o las políticas de firewall incluyen la capacidad de crearlas, actualizarlas y suprimirlas.
Dónde crear la política: en el arrendamiento, de forma que la capacidad para crear, cambiar o suprimir un recurso de firewall se conceda a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito a firewalls en un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>