Documentación de Oracle Cloud Infrastructure

Políticas de IAM de enrutamiento de paquetes de confianza cero

Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) para crear políticas que controlen el acceso al servicio Zero Trust Packet Routing (ZPR).

Consulte Detalles de los servicios principales para obtener información sobre las políticas de IAM para redes y recursos informáticos.

Tipos de recursos individuales

zpr-policy

zpr-security-attribute

Tipos de recursos agregados

zpr-family

security-attribute-family

Una política que utiliza un tipo de recurso agregado, por ejemplo, <verb> zpr-family, es igual a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte la tabla Detalles del verbo + tipo de recurso para obtener información detallada de las operaciones del API que cubre cada verbo, para cada tipo de recurso individual incluido en zpr-family y security-attribute-family.

Variables soportadas

El enrutamiento de paquetes de confianza cero admite todas las variables generales, además de las que se muestran aquí. Para obtener más información sobre las variables generales soportadas por los servicios de Oracle Cloud Infrastructure, consulte Detalles de las combinaciones de verbos y tipo de recurso.

Variable Tipo de Variable Comentarios
target.security-attribute-namespace.name Cadena Utilice esta variable para controlar si se permiten operaciones en un espacio de nombres de atributo de seguridad específico en respuesta a una solicitud para leer, actualizar, suprimir o mover un espacio de nombres de atributo de seguridad, o para ver información relacionada con solicitudes de trabajo para un espacio de nombres de atributo de seguridad.
target.security-attribute-namespace.id Entidad Esta variable solo se admite en sentencias que conceden permisos para el tipo de recurso security-attribute-namespaces.

Detalles de las combinaciones de verbo + tipo de recurso

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage.

Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda precedente, mientras que "sin extra" indica que no no extra indica que no hay un acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso zpr-policy incluye los mismos permisos y operaciones de API que el verbo inspect, así como la operación de API GetZprPolicy. Asimismo, el verbo manage para el tipo de recurso zpr-policy permite aún más permisos en comparación con el permiso use. Para el tipo de recurso zpr-policy, el verbo manage incluye los mismos permisos y operaciones de API que el verbo use, además de los permisos ZPR_POLICY_CREATE y ZPR_POLICY_DELETE, y las operaciones de API aplicables (CreateZprPolicy y DeleteZprPolicy).

política zpr
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

ZPR_POLICY_INSPECT

ListZprPolicies

ListZprPolicyWorkRequests

Ninguna
leído

INSPECT +

ZPR_POLICY_READ

INSPECT +

GetZprPolicy

GetZprPolicyWorkRequest

ListZprPolicyWorkRequestErrors

ListZprPolicyWorkRequestLogs

Ninguna
usar

READ +

ZPR_POLICY_UPDATE

UpdateZprPolicy

 

Ninguna
gestionar

USE +

ZPR_POLICY_CREATE

ZPR_POLICY_DELETE

USE +

CreateZprPolicy

DeleteZprPolicy

Ninguna
configuración de zpr
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

Ninguna
leído

INSPECT +

ZPR_CONFIGURATION_READ

INSPECT +

GetConfiguration

GetZprConfigurationWorkRequest

ListZprConfigurationWorkRequests

ListZprConfigurationWorkRequestErrors

ListZprConfigurationWorkRequestLogs

Ninguna
usar

READ +

ZPR_CONFIGURATION_UPDATE

UpdateConfiguration

 

Ninguna
gestionar

USE +

ZPR_CONFIGURATION_CREATE

ZPR_CONFIGURATION_DELETE

USE +

CreateConfiguration

DeleteConfiguration

Ninguna
espacio de nombre de atributo de seguridad
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttributeNamespace

ReadSecurityAttribute

SecurityAttributeWorkRequest

Ninguna
leído

INSPECT +

SECURITY_ATTRIBUTE_NAMESPACE_READ

INSPECT +

ReadSecurityAttributeNamespace

ReadSecurityAttribute

Ninguna
usar

READ +

SECURITY_ATTRIBUTE_NAMESPACE_USE

 

Ninguna
gestionar

USE +

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

ZPR_CONFIGURATION_DELETE

USE +

CreateSecurityAttributeNamespace

DeleteSecurityAttributeNamespace

CascadeDeleteSecurityAttributeNamespace

DeleteSecurityAttribute

ChangeCompartment para SecurityAttributeNamespace

UpdateSecurityAttributeNamespace

CreateSecurityAttribute

UpdateSecurityAttribute

Ninguna

Permisos necesarios para cada operación de API

En las siguientes secciones, se muestran las operaciones API de enrutamiento de paquetes de confianza cero y API de atributos de seguridad.

Operaciones de API de enrutamiento de paquetes de confianza cero

En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación

ListZprPolicies

ListZprPolicyWorkRequests

 ZPR_POLICY_INSPECT
CreateZprPolicy ZPR_POLICY_CREATE

GetZprPolicy

 ZPR_POLICY_READ

GetZprPolicyWorkRequest

 ZPR_POLICY_READ

ListZprPolicyWorkRequestErrors

 ZPR_POLICY_READ

ListZprPolicyWorkRequestLogs

 ZPR_POLICY_READ
UpdateZprPolicy ZPR_POLICY_UPDATE
DeleteZprPolicy ZPR_POLICY_DELETE
CreateConfiguration ZPR_CONFIGURATION_CREATE

GetConfiguration

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequests

 ZPR_CONFIGURATION_READ

GetZprConfigurationWorkRequest

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestErrors

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestLogs

 ZPR_CONFIGURATION_READ
UpdateConfiguration ZPR_CONFIGURATION_UPDATE
DeleteConfiguration ZPR_CONFIGURATION_DELETE
Operaciones de API de atributo de seguridad

En la siguiente tabla se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
CreateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

DeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

CascadeDeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

DeleteSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

SecurityAttributeWorkRequest

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
ChangeSecurityAttributeNamespaceCompartment SECURITY_ATTRIBUTE_NAMESPACE_MOVE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_READ

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_READ

UpdateSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

CreateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_USE

Ejemplos de políticas

Utilice los siguientes ejemplos para obtener información sobre las políticas de IAM de enrutamiento de paquetes de confianza cero.

Para utilizar el servicio Zero Trust Packet Routing (ZPR), los usuarios necesitan los siguientes permisos para otros recursos de Oracle Cloud Infrastructure:

  • Leer instancias informáticas
  • Leer recursos de base de datos
  • Inspeccionar solicitudes de trabajo

Para obtener más información, consulte Detalles de los servicios principales, incluidas las redes y los recursos informáticos.

Ejemplos de políticas de IAM de ZPR

  • Permitir a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todas las políticas ZPR de todo el arrendamiento:

    Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

  • Permita a los usuarios del grupo SecurityAuditors ver todos los recursos ZPR del arrendamiento:

    Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

  • Permita que el grupo app-admin gestione solo el espacio de nombres de atributo de seguridad applications y el grupo database-admin para gestionar solo el espacio de nombres de atributo de seguridad database.

    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'
    y
    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'