Políticas de Cloud Guard

Para controlar quién tiene acceso a Oracle Cloud Guard y el tipo de acceso para cada grupo de usuarios, debe crear políticas.

Por defecto, solo los usuarios del grupo Administrators tienen acceso a todos los recursos de Cloud Guard. Para el resto de usuarios que utilicen Cloud Guard, debe crear nuevas políticas que les asignen los derechos adecuados a los recursos de Cloud Guard.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

Tipos de recursos

Cloud Guard ofrece tanto tipos de recursos agregados como individuales para escribir las políticas.

Puede utilizar los tipos de recursos agregados para escribir menos políticas. Por ejemplo, en lugar de permitir que un grupo gestione cloud-guard-detectors y cloud-guard-problems, puede tener una política que permita al grupo gestionar el tipo de recurso agregado cloud-guard-family.


Tipo de recurso agregado	Tipos de recursos individuales
`cloud-guard-family`	`cloud-guard-adhoc-query` `cloud-guard-condition-metadata-types` `cloud-guard-config` `cloud-guard-coverage` `cloud-guard-data-mask-rules` `cloud-guard-data-sources` `cloud-guard-detector-recipes` `cloud-guard-detector-rule-definitions` `cloud-guard-detectors` `cloud-guard-findings` `cloud-guard-managed-lists` `cloud-guard-metadata` `cloud-guard-meta-data-sync` `cloud-guard-problems` `cloud-guard-recommendations` `cloud-guard-resource-profile` `cloud-guard-resource-types` `cloud-guard-resource-view` `cloud-guard-responder-recipes` `cloud-guard-responder-rules` `cloud-guard-responder-executions` `cloud-guard-risk-scores` `cloud-guard-saved-query` `cloud-guard-schemas` `cloud-guard-security-scores` `cloud-guard-service-logging` `cloud-guard-signals` `cloud-guard-summary-event` `cloud-guard-target-detector-rules` `cloud-guard-targets` `cloud-guard-user-preferencias` `security-policy` `security-recipe` `security-zone`

Las API cubiertas del tipo de recurso agregado cloud-guard-family cubren todas las API que se muestran en "Tipos de recursos individuales" en la tabla anterior.

Por ejemplo,

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

...es lo mismo que escribir 20 políticas con el siguiente formato:

allow group cloudguard-admins to manage <resource_type> in compartment <x>

Detalles de las combinaciones de verbo + tipo de recurso

Tablas de permisos y operaciones de API cubiertas por cada verbo en Cloud Guard.

El nivel de acceso es acumulativo a medida que pasa de inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental. Para obtener más información sobre los permisos en Oracle Cloud Infrastructure, consulte Permisos.

consulta ad hoc de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-adhoc-query. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_ADHOC_QUERY_INSPECT	`ListAdhocQueries`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_ADHOC_QUERY_READ	`GetAdhocQuery`
	`ListAdhocQueryResults`
	`GetAdhocQueryResultContent`
USO
READ +	READ +	ninguna
CG_ADHOC_QUERY_CREATE	`CreateAdhocQuery`	ninguna
GESTIONAR	sin extra	sin extra

cloud-guard-condition-metadata-types

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-condition-metadata-types. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_CONDITION_METADATA_TYPES_INSPECT	`ListCloudGuardConditionMetadataType`	ninguna
LECTURA		sin extra
INSPECCIONAR+	INSPECCIONAR+
CG_CONDITION_METADATA_TYPES_READ	`GetCloudGuardConditionMetadataType`
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

cloud-guard-config

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-config. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_CONFIG_INSPECT	`GetCloudGuard`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_CONFIG_READ	`GetCloudGuard`	ninguna
USO
READ +	READ +	ninguna
CG_CONFIG_UPDATE	`UpdateCloudGuard`	ninguna
GESTIONAR	sin extra	sin extra

cobertura de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-coverage. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_COVERAGE_INSPECT	`RequestSummarizedCoverage`	ninguna
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

reglas de máscara de datos-guard-nube

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-data-mask-rules. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_DATA_MASK_RULE_INSPECT	`ListDataMaskRules`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_DATA_MASK_RULE_READ	`GetDataMaskRule`	ninguna
USO
READ +	READ +	ninguna
CG_DATA_MASK_RULE_UPDATE	`UpdateDataMaskRule`	ninguna
GESTIONAR		ninguna
USE +	USE +	ninguna
CG_DATA_MASK_RULE_CREATE	`CreateDataMaskRule`
CG_DATA_MASK_RULE_DELETE	`DeleteDataMaskRule`

fuentes de datos de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-data-sources. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_DATA_SOURCE_INSPECT	`ListDataSources`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_DATA_SOURCE_READ	`GetDataSource`	ninguna
USO
READ +	READ +	ninguna
CG_DATA_SOURCE_UPDATE	`UpdateDataSource`	ninguna
GESTIONAR		ninguna
USE +	USE +	ninguna
CG_DATA_SOURCE_CREATE	`CreateDataSource`
CG_DATA_SOURCE_DELETE	`DeleteDataSource`
CG_DATA_SOURCE_MOVE	`ChangeDataSourceCompartment`

cloud-guard-detectors

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-detectors. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_DETECTOR_INSPECT	`ListCloudGuardDetectors`	ninguna
CG_DETECTOR_INSPECT	`ListCloudGuardDetectorRules`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_DETECTOR_READ	`GetCloudGuardDetector`
CG_DETECTOR_READ	`GetCloudGuardDetectorRule`
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

cloud-guard-detector-recipes

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-detector-recipes. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipe`	ninguna
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipeDetectorRules`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipeDetectorRule`
USO
READ +	READ +	ninguna
CG_DETECTOR_RECIPE_UPDATE	`UpdateCloudGuardDetectorRecipe`
	`ChangeCloudGuardDetectorRecipeCompartment`
	`UpdateCloudGuardDetectorRecipeDetectorRule`
GESTIONAR
USE +	USE +	ninguna
CG_DETECTOR_RECIPE_CREATE	`CreateCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_DELETE	`DeleteCloudGuardDetectorRecipe`

cloud-guard-detector-rule-definiciones

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-detector-rule-definitions. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_DETECTOR_RULE_DEFINITION_INSPECT	`ListDetectorRuleDefinitions`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_DETECTOR_RULE_DEFINITION_READ	`GetDetectorRuleDefinition`	ninguna
USO
READ +	READ +	ninguna
CG_DETECTOR_RULE_DEFINITION_UPDATE	`UpdateDetectorRuleDefinition`	ninguna
GESTIONAR
USE +	USE +	ninguna
CG_DETECTOR_RULE_DEFINITION_CREATE	`CreateDetectorRuleDefinition`
CG_DETECTOR_RULE_DEFINITION_DELETE	`DeleteDetectorRuleDefinition`

cloud-guard-findings

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-findings. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
INSPECCIONAR	sin extra	sin extra
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR
CG_FINDING_CREATE	`CreateCloudGuardFinding`	ninguna

cloud-guard-managed-lists

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-managed-lists. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedLists`	ninguna
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedListTypes`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_MANAGED_LIST_READ	`GetCloudGuardManagedList`	ninguna
USO
READ +	READ +	ninguna
CG_MANAGED_LIST_UPDATE	`UpdateCloudGuardManagedList`	ninguna
GESTIONAR
USE +	USE +	ninguna
CG_MANAGED_LIST_CREATE	`CreateCloudGuardManagedList`
CG_MANAGED_LIST_DELETE	`DeleteCloudGuardManagedList`
CG_MANAGED_LIST_MOVE	`ChangeManagedListCompartment`

metadatos de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-metadata. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_METADATA_INSPECT	`ListTactics`	ninguna
CG_METADATA_INSPECT	`ListTechniques`	ninguna
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

cloud-guard-meta-data-sync

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-meta-data-sync. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR	sin extra	sin extra
ninguna	ninguna	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_METADATASYNC_READ	`GetMetaDataSyncStatus`	ninguna
USO
READ +	READ +	ninguna
CG_METADATASYNC_UPDATE	`UpdateResourceSync`	ninguna
GESTIONAR	sin extra	sin extra

cloud-guard-problems

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-problems. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_PROBLEM_INSPECT	`ListCloudGuardProblems`	ninguna
	`ListCloudGuardProblemHistories`
	`ListCloudGuardResponderActivities`
	`RequestCloudGuardSummarizedActivityProblems`
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_PROBLEM_READ	`GetCloudGuardProblem`
	`RequestCloudGuardSummarizedProblems`
	`RequestCloudGuardSummarizedTrendProblems`
	`ListCloudGuardImpactedResources`
USO
READ +	READ +	ninguna
CG_PROBLEM_UPDATE	`UpdateCloudGuardBulkProblemStatus`
	`UpdateCloudGuardProblemStatus`
	`TriggerCloudGuardResponder`
GESTIONAR	sin extra	sin extra

cloud-guard-recommendations

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-recommendations. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RECOMMENDATION_INSPECT	`ListCloudGuardRecommendations`	ninguna
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

perfil de recursos de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-resource-profile. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RESOURCE_PROFILE_INSPECT	`ListResourceProfiles`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_RESOURCE_PROFILE_READ	`GetResourceProfile`
	`ListResourceProfileEndpoints`
	`ListResourceProfileImpactedResources`
	`RequestSummarizedTopTrendResourceRiskScores`
	`RequestSummarizedTrendResourceRiskScores`
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

cloud-guard-resource-types

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-cloud-guard-resource-types. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RESOURCE_TYPES_INSPECT	`ListCloudGuardResourceTypes`	ninguna
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

visión de recursos de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-resource-view. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RESOURCE_VIEW_INSPECT	`ListResources`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_RESOURCE_VIEW_READ	`GetResource`	ninguna
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

cloud-guard-responder-recipes

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-cloud-guard-responder-recipes. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipe`	ninguna
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipeResponderRule`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipeResponderRule`
USO
READ +	READ +	ninguna
CG_RESPONDER_RECIPE_UPDATE	`UpdateCloudGuardResponderRecipe`
	`ChangeCloudGuardResponderRecipeCompartment`
	`UpdateCloudGuardResponderRecipeResponderRule`
GESTIONAR
USE +	USE +	ninguna
CG_RESPONDER_RECIPE_CREATE	`CreateCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_DELETE	`DeleteCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_MOVE	`ChangeResponderRecipeCompartment`

cloud-guard-responder-executions

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-responder-executions. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RESPONDER_EXECUTION_INSPECT	`ListCloudGuardResponderExecution`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_RESPONDER_EXECUTION_READ	`GetCloudGuardResponderExecution`
	`RequestCloudGuardSummarizedResponderExecutions`
	`RequestCloudGuardSummarizedTrendResponderExecutions`
USO
READ +	READ +	ninguna
CG_RESPONDER_EXECUTION_UPDATE	`ExecuteCloudGuardResponderExecution`	ninguna
GESTIONAR	sin extra	sin extra

cloud-guard-risk-scores

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-risk-scores. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_RISK_SCORES_INSPECT	`RequestCloudGuardSummarizedRiskScores`	ninguna
CG_RISK_SCORES_INSPECT	`RequestCloudGuardRiskScores`	ninguna
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

consulta guardada de cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-saved-query. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_SAVED_QUERY_INSPECT	`ListSavedQueries`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_SAVED_QUERY_READ	`GetSavedQuery`	ninguna
USO
READ +	READ +	ninguna
CG_SAVED_QUERY_UPDATE	`UpdateSavedQuery`	ninguna
GESTIONAR
USE +	USE +	ninguna
CG_SAVED_QUERY_CREATE	`CreateSavedQuery`
CG_SAVED_QUERY_DELETE	`DeleteSavedQuery`
CG_SAVED_QUERY_MOVE	`ChangeWlpSavedQueryCompartment`

esquemas cloud-guard

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-schemas. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_SCHEMA_INSPECT	`ListSchemas`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_SCHEMA_READ	`GetSchema`	ninguna
USO
READ +	READ +	ninguna
CG_SCHEMA_UPDATE	`UpdateSchema`	ninguna
GESTIONAR
USE +	USE +	ninguna
CG_SCHEMA_CREATE	`CreateSchema`
CG_SCHEMA_DELETE	`DeleteSchema`

cloud-guard-security-scores

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-security-scores. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_SECURITY_SCORES_INSPECT	`RequestCloudGuardSummarizedSecurityScores`	ninguna
	`RequestCloudGuardSummarizedTrendSecurityScores`
	`RequestCloudGuardSecurityScores`
	`RequestSecurityScoreSummarizedTrend`
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR	sin extra	sin extra

registro de servicio-guard-nube

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-service-logging. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
INSPECCIONAR	`ListCloudGuardProblems`	sin extra
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_SERVICE_LOGGING_READ	`GetServiceLogging`	ninguna
USO
READ +	READ +	ninguna
CG_SERVICE_LOGGING_UPDATE	`UpdateServiceLogging`	ninguna
GESTIONAR
USE +	USE +	ninguna
CG_SERVICE_LOGGING_CREATE	`CreateServiceLogging`
CG_SERVICE_LOGGING_DELETE	`DeleteServiceLogging`

cloud-guard-signals

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-signals. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR	sin extra	sin extra
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR
USE +	USE +	ninguna
CG_SIGNAL_CREATE	`CreateCloudGuardSignal`	ninguna

cloud-guard-summary-event

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-summary-event. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR	sin extra	sin extra
LECTURA	sin extra	sin extra
USO	sin extra	sin extra
GESTIONAR
USE +	USE +	ninguna
CG_SUMMARY_EVENT_CREATE	`AddSummaryEvent`	ninguna

cloud-guard-targets

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-targets. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_TARGET_INSPECT	`ListCloudGuardTargets`	ninguna
	`ListCloudGuardTargetDetectorRecipes`
	`ListCloudGuardTargetDetectorRecipeDetectorRules`
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_TARGET_READ	`GetCloudGuardTarget`
	`ListCloudGuardTargetResponderRecipes`
	`GetCloudGuardTargetResponderRecipe`
	`ListCloudGuardTargetResponderRecipeResponderRules`
	`GetCloudGuardTargetResponderRecipeResponderRule`
	`GetCloudGuardTargetDetectorRecipe`
	`GetCloudGuardTargetDetectorRecipeDetectorRule`
USO
READ +	READ +	ninguna
CG_TARGET_UPDATE	`UpdateCloudGuardTarget`
	`UpdateCloudGuardTargetDetectorRule`
	`CreateCloudGuardTargetResponderRecipe`
	`ChangeCloudGuardTargetResponderRecipeCompartment`
	`UpdateCloudGuardTargetResponderRecipe`
	`UpdateCloudGuardTargetResponderRecipeResponderRule`
	`CreateCloudGuardTargetDetectorRecipe`
	`ChangeCloudGuardTargetDetectorRecipeCompartment`
	`UpdateCloudGuardTargetDetectorRecipe`
GESTIONAR
USE +	USE +	ninguna
CG_TARGET_CREATE	`CreateCloudGuardTarget`
CG_TARGET_DELETE	`DeleteCloudGuardTarget`
	`DeleteCloudGuardTargetResponderRecipe`
	`DeleteCloudGuardTargetDetectorRecipe`

cloud-guard-user-preferences

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-user-preferences. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_USER_PREFERENCE_INSPECT	`GetCloudGuardUserPreference`	ninguna
LECTURA	sin extra	sin extra
USO
READ +	READ +	ninguna
USE +	USE +	ninguna
CG_USER_PREFERENCE_UPDATE	`ReplaceCloudGuardUserPreference`	ninguna
GESTIONAR	sin extra	sin extra

cloud-guard-work-requests

A continuación, se muestran las API cubiertas del tipo de recurso cloud-guard-work-requests. Las API se muestran por orden alfabético para cada permiso.


Permisos	API totalmente cubiertas	API parcialmente cubiertas
INSPECCIONAR
CG_WORK_REQUEST_INSPECT	`LListWorkRequests`	ninguna
LECTURA
INSPECCIONAR +	INSPECCIONAR +	ninguna
CG_WORK_REQUEST_READ	`GetWorkRequest`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
USO	sin extra	sin extra
GESTIONAR
USE +	USE +	ninguna
CG_WORK_REQUEST_DELETE	`CancelWorkRequest`	ninguna

política de seguridad


Operación de API	Permisos necesarios para utilizar la operación
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe

A continuación, se muestran las API cubiertas del tipo de recurso security-recipe. Las API se muestran por orden alfabético para cada permiso.


Verbo	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`SECURITY_RECIPE_INSPECT`	`ListSecurityRecipes`	ninguna
`read`	`inspect+` `SECURITY_RECIPE_READ`	`GetSecurityRecipe`	ninguna
`use`	`read+` `SECURITY_RECIPE_UPDATE`	`UpdateSecurityRecipe`	ninguna
`manage`	`use+` `SECURITY_RECIPE_CREATE` `SECURITY_RECIPE_DELETE`	`CreateSecurityRecipe` `DeleteSecurityRecipe`	ninguna

security-zone

A continuación, se muestran las API cubiertas del tipo de recurso security-zone. Las API se muestran por orden alfabético para cada permiso.


Verbo	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`SECURITY_ZONE_INSPECT`	`ListSecurityZones`	ninguna
`read`	`inspect+` `SECURITY_ZONE_READ`	`GetSecurityZone`	ninguna
`use`	`read+` `SECURITY_ZONE_ATTACH` `SECURITY_ZONE_DETACH` `SECURITY_ZONE_UPDATE`	`AddCompartment` `RemoveCompartment` `UpdateSecurityZone`	ninguna
`manage`	`use+` `SECURITY_ZONE_CREATE` `SECURITY_ZONE_DELETE`	`CreateSecurityZone` `DeleteSecurityZone`	ninguna

Permisos necesarios para cada operación de API

Tablas que muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Los tipos de recursos se muestran en Tipos de recursos, en la columna "Tipos de recursos individuales".

Para obtener información sobre los permisos, consulte Permisos.

consulta ad hoc de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`ListAdhocQueries`	CG_ADHOC_QUERY_INSPECT
`GetAdhocQuery`	CG_ADHOC_QUERY_READ
`ListAdhocQueryResults`	CG_ADHOC_QUERY_READ
`GetAdhocQueryResultContent`	CG_ADHOC_QUERY_READ
`CreateAdhocQuery`	CG_ADHOC_QUERY_CREATE

cloud-guard-condition-metadata-types


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_INSPECT
`GetCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_READ

cloud-guard-config


Operación de API	Permisos necesarios para utilizar la operación
`GetCloudGuard`	CG_CONFIG_INSPECT CG_CONFIG_READ
`UpdateCloudGuard`	CG_CONFIG_UPDATE

cobertura de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`RequestSummarizedCoverage`	CG_COVERAGE_INSPECT

reglas de máscara de datos-guard-nube


Operación de API	Permisos necesarios para utilizar la operación
`CreateDataMaskRule`	CG_DATA_MASK_RULE_CREATE
`DeleteDataMaskRule`	CG_DATA_MASK_RULE_DELETE
`GetDataMaskRule`	CG_DATA_MASK_RULE_READ
`ListDataMaskRules`	CG_DATA_MASK_RULE_INSPECT
`UpdateDataMaskRule`	CG_DATA_MASK_RULE_UPDATE

fuentes de datos de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`ChangeDataSourceCompartment`	CG_DATA_SOURCE_MOVE
`CreateDataSource`	CG_DATA_SOURCE_CREATE
`DeleteDataSource`	CG_DATA_SOURCE_DELETE
`GetDataSource`	CG_CONFIG_READ
`ListDataSources`	CG_DATA_SOURCE_INSPECT
`UpdateDataSource`	CG_DATA_SOURCE_UPDATE

cloud-guard-detectors


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardDetectors`	CG_DETECTOR_INSPECT
`ListCloudGuardDetectorRules`	CG_DETECTOR_INSPECT
`GetCloudGuardDetector`	CG_DETECTOR_READ
`GetCloudGuardDetectorRule`	CG_DETECTOR_READ

cloud-guard-detector-recipes


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_INSPECT
`GetCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_READ
`CreateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_CREATE
`UpdateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_UPDATE
`DeleteCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_DELETE
`ChangeDetectorRecipeCompartment`	CG_DETECTOR_RECIPE_MOVE

cloud-guard-detector-rule-definiciones


Operación de API	Permisos necesarios para utilizar la operación
`CreateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_CREATE
`DeleteDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_DELETE
`GetDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_READ
`ListDetectorRuleDefinitions`	CG_DETECTOR_RULE_DEFINITION_INSPECT
`UpdateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_UPDATE

cloud-guard-findings


Operación de API	Permisos necesarios para utilizar la operación
`CreateCloudGuardFinding`	CG_FINDING_CREATE

cloud-guard-managed-lists


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardManagedLists`	CG_MANAGED_LIST_INSPECT
`ListCloudGuardManagedListTypes`	CG_MANAGED_LIST_INSPECT
`GetCloudGuardManagedList`	CG_MANAGED_LIST_READ
`CreateCloudGuardManagedList`	CG_MANAGED_LIST_CREATE
`UpdateCloudGuardManagedList`	CG_MANAGED_LIST_UPDATE
`DeleteCloudGuardManagedList`	CG_MANAGED_LIST_DELETE
`ChangeManagedListCompartment`	CG_MANAGED_LIST_MOVE

metadatos de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`ListTactics`	CG_METADATA_INSPECT
`ListTechniques`	CG_METADATA_INSPECT

cloud-guard-meta-data-sync


Operación de API	Permisos necesarios para utilizar la operación
`UpdateResourceSync`	CG_METADATASYNC_UPDATE
`GetMetaDataSyncStatus`	CG_METADATASYNC_READ

cloud-guard-problems


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardProblems`	CG_PROBLEM_INSPECT
`ListCloudGuardProblemHistories`	CG_PROBLEM_INSPECT
`ListCloudGuardResponderActivities`	CG_PROBLEM_INSPECT
`GetCloudGuardProblem`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedProblems`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedTrendProblems`	CG_PROBLEM_READ
`ListCloudGuardImpactedResources`	CG_PROBLEM_READ
`UpdateCloudGuardBulkProblemStatus`	CG_PROBLEM_UPDATE
`UpdateCloudGuardProblemStatus`	CG_PROBLEM_UPDATE
`TriggerCloudGuardResponder`	CG_PROBLEM_UPDATE

cloud-guard-recommendations


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardRecommendations`	CG_RECOMMENDATION_INSPECT

perfil de recursos de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`GetResourceProfile`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileEndpoints`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileImpactedResources`	CG_RESOURCE_PROFILE_READ
`ListResourceProfiles`	CG_RESOURCE_PROFILE_INSPECT
`RequestSummarizedTopTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ
`RequestSummarizedTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ

cloud-guard-resource-types


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardResourceTypes`	CG_RESOURCE_TYPES_INSPECT

visión de recursos de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`ListResources`	CG_RESOURCE_VIEW_INSPECT
`GetResource`	CG_RESOURCE_VIEW_READ

cloud-guard-responder-recipes


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_INSPECT
`ListCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_INSPECT
`GetCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_READ
`GetCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_READ
`CreateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_CREATE
`UpdateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_UPDATE
`ChangeCloudGuardResponderRecipeCompartment`	CG_RESPONDER_RECIPE_UPDATE
`UpdateCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_UPDATE
`DeleteCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_DELETE
`ChangeResponderRecipeCompartment`	CG_RESPONDER_RECIPE_MOVE

cloud-guard-responder-rules


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardResponderRules`	CG_RESPONDER_RULE_INSPECT
`GetCloudGuardResponderRule`	CG_RESPONDER_RULE_READ

cloud-guard-responder-executions


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_INSPECT
`GetCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedTrendResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`ExecuteCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardBulkResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE

cloud-guard-risk-scores


Operación de API	Permisos necesarios para utilizar la operación
`RequestCloudGuardSummarizedRiskScores`	CG_RISK_SCORES_INSPECT
`RequestCloudGuardRiskScores`	CG_RISK_SCORES_INSPECT

consulta guardada de cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`ChangeSavedQueryCompartment`	CG_SAVED_QUERY_MOVE
`CreateSavedQuery`	CG_SAVED_QUERY_CREATE
`DeleteSavedQuery`	CG_SAVED_QUERY_DELETE
`GetSavedQuery`	CG_SAVED_QUERY_READ
`ListSavedQueries`	CG_SAVED_QUERY_INSPECT
`UpdateSavedQuery`	CG_SAVED_QUERY_INSPECT

esquemas cloud-guard


Operación de API	Permisos necesarios para utilizar la operación
`CreateSchema`	CG_SCHEMA_CREATE
`DeleteSchema`	CG_SCHEMA_DELETE
`GetSchema`	CG_SCHEMA_READ
`ListSchemas`	CG_SCHEMA_INSPECT
`UpdateSchema`	CG_SCHEMA_UPDATE

cloud-guard-security-scores


Operación de API	Permisos necesarios para utilizar la operación
`RequestCloudGuardSummarizedSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSummarizedTrendSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestSecurityScoreSummarizedTrend`	CG_SECURITY_SCORES_INSPECT

registro de servicio-guard-nube


Operación de API	Permisos necesarios para utilizar la operación
`CreateServiceLogging`	CG_SERVICE_LOGGING_CREATE
`DeleteServiceLogging`	CG_SERVICE_LOGGING_DELETE
`GetServiceLogging`	CG_SERVICE_LOGGING_READ
`UpdateCloudGuard`	CG_SERVICE_LOGGING_CREATE

cloud-guard-signals


Operación de API	Permisos necesarios para utilizar la operación
`CreateCloudGuardSignal`	CG_SIGNAL_CREATE

cloud-guard-summary-event


Operación de API	Permisos necesarios para utilizar la operación
`AddSummaryEvent`	CG_SUMMARY_EVENT_CREATE

cloud-guard-targets


Operación de API	Permisos necesarios para utilizar la operación
`ListCloudGuardTargets`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipes`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipeDetectorRules`	CG_TARGET_INSPECT
`GetCloudGuardTarget`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipes`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipe`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipeResponderRules`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipe`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_READ
`CreateCloudGuardTarget`	CG_TARGET_CREATE
`UpdateCloudGuardTarget`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetResponderRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetDetectorRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_UPDATE
`DeleteCloudGuardTarget`	CG_TARGET_DELETE
`DeleteCloudGuardTargetResponderRecipe`	CG_TARGET_DELETE
`DeleteCloudGuardTargetDetectorRecipe`	CG_TARGET_DELETE

cloud-guard-user-preferences


Operación de API	Permisos necesarios para utilizar la operación
`GetCloudGuardUserPreference`	CG_USER_PREFERENCE_INSPECT
`ReplaceCloudGuardUserPreference`	CG_USER_PREFERENCE_UPDATE

cloud-guard-work-requests


Operación de API	Permisos necesarios para utilizar la operación
`CancelWorkRequest`	CG_WORK_REQUEST_DELETE
`GetWorkRequest`	CG_WORK_REQUEST_READ
`ListWorkRequestErrors`	CG_WORK_REQUEST_READ
`ListWorkRequestLogs`	CG_WORK_REQUEST_READ

política de seguridad


Operación de API	Permisos necesarios para utilizar la operación
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe


Operación de API	Permisos necesarios para utilizar la operación
`ListSecurityRecipes`	`SECURITY_RECIPE_INSPECT`
`GetSecurityRecipe`	`SECURITY_RECIPE_READ`
`CreateSecurityRecipe`	`SECURITY_RECIPE_CREATE`
`UpdateSecurityRecipe`	`SECURITY_RECIPE_UPDATE`
`DeleteSecurityRecipe`	`SECURITY_RECIPE_DELETE`

security-zone


Operación de API	Permisos necesarios para utilizar la operación
`ListSecurityZones`	`SECURITY_ZONE_INSPECT`
`GetSecurityZone`	`SECURITY_ZONE_READ`
`CreateSecurityZone`	`SECURITY_ZONE_CREATE`
`UpdateSecurityZone`	`SECURITY_ZONE_UPDATE`
`DeleteSecurityZone`	`SECURITY_ZONE_DELETE`
`AddCompartment`	`SECURITY_ZONE_ATTACH`
`RemoveCompartment`	`SECURITY_ZONE_DETACH`

Creación de una política

Pasos para crear una política que soporte las llamadas a la API de REST de Cloud Guard.

A continuación, se muestra cómo crear una política:

Abra el menú de navegación de la consola y seleccione Identidad y seguridad, haga clic en Identidad y, a continuación, haga clic en Políticas.
Haga clic en Crear política.
Introduzca un nombre y una descripción para la política.
Evite introducir información confidencial.
En el campo Sentencia, introduzca una regla de política con el siguiente formato:

allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>
Haga clic en Crear.

Para obtener más información sobre la creación de políticas, consulte cómo funcionan las políticas y la referencia de políticas.

Ejemplos de políticas

Obtenga más información sobre las políticas de IAM de Cloud Guard mediante ejemplos.

Permitir a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todos los recursos de Cloud Guard de todo el arrendamiento:
```
Allow group SecurityAdmins to manage cloud-guard-family in tenancy
```
Permitir a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todas las zonas de seguridad y recetas en todo el arrendamiento:
```
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
```

Permitir a los usuarios del grupo SecurityAuditors ver las zonas de seguridad en el compartimento SecurityArtifacts:

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Para obtener más ejemplos de políticas, consulte Sentencias de políticas para los usuarios.

Documentación de Oracle Cloud Infrastructure

Políticas de Cloud Guard

Tipos de recursos

Detalles de las combinaciones de verbo + tipo de recurso

Permisos necesarios para cada operación de API

Creación de una política

Ejemplos de políticas