Documentación de Oracle Cloud Infrastructure

Atributos de Seguridad

Un atributo de seguridad es una etiqueta a la que se puede hacer referencia en la política de enrutamiento de paquetes de confianza cero (ZPR) para controlar el acceso a los recursos admitidos.

Al activar ZPR, se crea un atributo de seguridad de ejemplo denominado sensitivity en el espacio de nombres del atributo de seguridad oracle-zpr. Puede cambiar o suprimir el atributo de seguridad sensitivity.

Permisos necesarios para trabajar con atributos de seguridad

Para aplicar, actualizar o eliminar un atributo de seguridad para un recurso, se debe otorgar a un usuario permisos sobre el recurso y permisos para utilizar el espacio de nombres de atributo de seguridad.

Se debe otorgar a los usuarios acceso use en el espacio de nombres de atributo de seguridad para aplicar, actualizar o eliminar un atributo de seguridad para un recurso. Por ejemplo, para permitir el acceso UserGroupA al espacio de nombres del atributo de seguridad public:

Allow UserGroupA to use security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

Para permitir el acceso UserGroupA en todos los espacios de nombres de atributos de seguridad de un arrendamiento: 

Allow UserGroupA to use security-attribute-namespaces in tenancy

Además de los permisos para trabajar con el espacio de nombres de atributo de seguridad, el usuario también debe tener permiso para actualizar el recurso para aplicar o eliminar atributos de seguridad. En muchos recursos, el permiso de actualización se otorga con el verbo use. Por ejemplo, los usuarios que pueden utilizar instancias en CompartmentA también pueden aplicar, actualizar o eliminar atributos de seguridad para las instancias de CompartmentA.

allow UserGroupA to use instance-family in tenancy

Algunos recursos no incluyen el permiso de actualización con el verbo use. Para permitir a un grupo aplicar, actualizar o eliminar atributos de seguridad para estos recursos sin otorgar permisos completos de gestión, puede agregar una sentencia de política para otorgar solo el permiso '<resource>_ update' del verbo manage. Por ejemplo, para permitir que el grupo NetworkUsers funcione con redes virtuales en la nube con atributos de seguridad en CompartmentA, puede escribir una política como la siguiente:


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

El permiso inspect de un recurso otorga permisos para ver los atributos de seguridad de ese recurso. Por ejemplo, los usuarios que pueden inspeccionar las instancias también pueden ver cualquier atributo de seguridad aplicado a la instancia.

Para obtener información sobre permisos de recursos, consulte la Referencia de políticas. Para obtener información sobre las políticas de IAM de ZPR, consulte Políticas de IAM de enrutamiento de paquetes de confianza cero.

Conceptos básicos de atributos de seguridad

Puede aplicar hasta tres atributos de seguridad a cada recurso soportado. Consulte Límites para obtener más información sobre los límites del enrutamiento de paquetes de confianza cero (ZPR).

Los nombres de atributos de seguridad tienen las mismas reglas de nomenclatura que los espacios de nombres de atributos de seguridad. Los únicos caracteres válidos para los nombres de atributos de seguridad son los siguientes:

  • 0-9
  • A-Z
  • a-z
  • - (en guión)
  • _ (carácter de subrayado)

Los nombres de atributos de seguridad deben empezar por una letra a-z y deben ser únicos en el mismo espacio de nombres de atributos de seguridad. Los nombres de atributos de seguridad no distinguen entre mayúsculas y minúsculas, lo que significa que, por ejemplo, mySecurityAttribute y mysecurityattribute no están permitidos en el mismo espacio de nombres. Si especifica un nombre que ya está en uso en el espacio de nombres de atributo de seguridad, recibirá un error.

Cada atributo de seguridad debe tener una descripción. Las descripciones no tienen que ser únicas y se pueden actualizar más tarde.

A cada atributo de seguridad se le asigna un estado según la ubicación del atributo de seguridad en su ciclo de vida:

ACTIVOS
El atributo de seguridad está activo.
INACTIVO
El atributo de seguridad se ha desactivado.
SUPRIMIENDO
El atributo de seguridad está en proceso de supresión.
SE HA SUPRIMIDO
Se suprime el atributo de seguridad.

Cuando ya no necesite un atributo de seguridad, puede suprimirlo. Para suprimir un atributo de seguridad, primero debe retirarlo. Solo se puede suprimir un atributo de seguridad dado de baja.

Consulte Gestión de Atributos de Seguridad para conocer las operaciones que puede realizar para gestionar los atributos de seguridad.

Valores de atributo de seguridad

Para organizar aún más los recursos, asigne valores a un atributo de seguridad.

Por ejemplo, para organizar sus recursos, una compañía aplica los siguientes atributos de seguridad:

  • Aplicaciones
  • Redes
  • bases de datos

Para categorizar aún más los recursos, la compañía define los siguientes tipos de valores en los atributos de seguridad:

  • Aplicaciones
    • app de RR. HH.
    • aplicación de nómina
    • aplicación de beneficios
  • Redes
    • red frontal
    • back-red
  • bases de datos
    • autonomous-databases
    • nube-autónomo-vmclustersouth
    • cloud-vmclusters
    • db-systems

ZPR proporciona las siguientes opciones para aplicar tipos de valor a atributos de seguridad:

Estático
El usuario introduce un valor.
Lista de Valores
El usuario selecciona de una lista de valores proporcionados.

Puede definir tipos de valores al crear o actualizar un atributo de seguridad, o al gestionar los recursos protegidos.