Sintaxis de política

Los atributos de seguridad identifican la VCN y los puntos finales dentro de la VCN.

Un atributo de seguridad se compone de un espacio de nombres de atributo de seguridad y una clave de atributo de seguridad separadas por un punto y un valor separado por dos puntos:

Los espacios de nombres de atributos de seguridad y las claves y valores de atributos de seguridad están restringidos por límites específicos. Es importante destacar que los espacios de nombres de atributos de seguridad y las claves de atributos de seguridad no deben contener un espacio ni un carácter de punto. Sin embargo, los valores pueden contener espacios, puntos y comillas simples. Si se hace referencia a un atributo de seguridad cuyo valor contiene más caracteres que el número permitido, la cláusula de atributo de seguridad completa se incluye entre comillas simples. Cualquier carácter de comillas simples en el valor se debe identificar con otro carácter de comillas simples. Por ejemplo:

app:fin-network

oracle-zpr.app:fe-nodes

my-corp.biz:hr

'my-corp.biz:dev and test db'

Consulte Atributos de seguridad para obtener más información sobre los atributos de seguridad y los permisos necesarios para utilizarlos.

Las sentencias de política ZPR utilizan la siguiente sintaxis y reglas cuando el origen y el destino residen en la misma VCN:

in <location> <command> <source endpoint> <verb> <destination endpoint>

• <location> es necesario y debe tener el formato in <security attribute> VCN. Se debe especificar <security attribute> y solo puede ser un único atributo de seguridad.
• <command> debe ser allow.
• <source endpoint> debe ser security attribute, ip address, all-endpoints o osn-services-ip-addresses.
• <verb> debe ser to connect to.
• <destination endpoint> debe ser security attribute, ip address, all-endpoints o osn-services-ip-addresses.

Por ejemplo, la siguiente sentencia de política expresa la intención de permitir el tráfico entre puntos finales dentro de la misma VCN:

in app:fin-network VCN allow app:web endpoints to connect to app:store endpoints

La VCN se identifica por su atributo de seguridad y está sujeta a la política que hace referencia a ella. La sentencia allow se aplica a cada VCN con ese atributo de seguridad. Las cláusulas de punto final identifican el origen o el destino del tráfico con el atributo de seguridad especificado en una VCN:

La palabra clave all-endpoints significa cualquier punto final dentro o fuera de la VCN, independientemente de si lleva algún atributo de seguridad. El punto final de origen y el punto final de destino no pueden ser all-endpoint. Se debe identificar uno (lista de atributos de punto final).

El tráfico entre puntos finales se puede limitar aún más en una política filtrando en ip-address y uno o más de los atributos de filtro de red permitidos: protocol, protocol.icmp.type, protocol.icmp.code y connection-state.

ip-address o osn-services-ip-addresses pueden ser un destino o un origen. Sin embargo, no puede utilizar ip-address y osn-services-ip-addresses tanto en los puntos finales de origen como de destino; ip-address y osn-services-ip-addresses deben ser el origen o el destino. Por ejemplo:

in applications.apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints

Las sentencias de política de ZPR utilizan la siguiente sintaxis y reglas cuando las VCN de origen y destino residen en la misma región y arrendamiento, y ambas VCN utilizan atributos de seguridad:

<command> <source endpoints> in <source location> to <verb> <destination endpoints> in <destination location>

• <command> debe ser allow.
• <source endpoint> debe ser security attribute.
  Nota
  
  Para hacer referencia a un punto final por dirección IP o rango de CIDR, utilice la sintaxis de política para una única VCN.
• <source location> es necesario y se debe especificar con el formato in <security attribute> VCN. <security attribute> y solo puede ser un único atributo de seguridad.
• <verb> debe ser to connect to.
• <destination endpoint> debe ser security attribute.
• <destination location> es necesario y se debe especificar con el formato in <security attribute> VCN. <security attribute> y solo puede ser un único atributo de seguridad.

Por ejemplo, la siguiente sentencia de política expresa la intención de permitir el tráfico desde o hacia puntos finales en dos redes virtuales en la nube dentro de la misma región:

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

Las redes virtuales en la nube se identifican por sus atributos de seguridad y están sujetas a las políticas que las hacen referencia. La sentencia allow se aplica a cada VCN con esos atributos de seguridad. Las cláusulas de punto final identifican el origen o el destino del tráfico con el atributo de seguridad especificado en una VCN:

El tráfico hacia y desde los puntos finales se puede limitar aún más en la política mediante el filtrado con uno o más de los atributos de filtro de red permitidos: protocol, protocol.icmp.type, protocol.icmp.code y connection-state.

Para permitir el tráfico hacia o desde un origen o destino sin un atributo de seguridad definido (como otra VCN, una región diferente, una red local o Internet), especifique la dirección IP o el bloque CIDR en una política de ZPR mediante la sintaxis de política de VCN única.

Por ejemplo, la siguiente sentencia de política expresa la intención de permitir el tráfico desde o hacia puntos finales en la dirección IP especificada, independientemente de dónde resida el recurso o de si tiene atributos de seguridad aplicados:

in front-end:network VCN allow loadbalancer:web to connect to '0.0.0.0/0'