Documentation sur Oracle Cloud Infrastructure

Ajout d'attributs de sécurité à une cible de montage

Utilisez le routage de paquets avec confiance zéro avec une cible de montage.

Vous pouvez utiliser le routage ZPR (Zero Trust Packet Routing) avec ou à la place des groupes de sécurité de réseau pour gérer l'accès réseau aux ressources OCI. Pour ce faire, définissez des politiques ZPR qui régissent la façon dont les ressources communiquent entre elles, puis ajoutez des attributs de sécurité à ces ressources. Pour plus d'informations, voir Routage de paquets Zéro confiance.
Attention

Si un point d'extrémité a un attribut de sécurité ZPR (Zero Trust Packet Routing), le trafic vers le point d'extrémité doit satisfaire aux politiques ZPR ainsi qu'à toutes les règles de groupe de sécurité de réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité de réseau et que vous ajoutez un attribut de sécurité à un point d'extrémité, tout le trafic vers ce point d'extrémité est bloqué. À partir de là, une politique ZPR doit autoriser explicitement le trafic vers le point d'extrémité.

Politique GIA requise

Pour utiliser ZPR avec les cibles de montage du service de stockage de fichiers, créez une politique IAM qui accorde au service de stockage de fichiers l'autorisation d'inspecter et d'utiliser l'espace de noms d'attribut de sécurité requis par ZPR.

Par exemple, vous pouvez utiliser la politique suivante :

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

Le nom de l'utilisateur du service Stockage de fichiers dépend de votre . Pour les domaines avec des numéros de clé de domaine de 10 ou moins, le modèle pour l'utilisateur du service de stockage de fichiers est FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines dont le numéro de clé de domaine est supérieur à 10 ont un utilisateur de service fssocprod. Pour plus d'informations sur les domaines, voir À propos des régions et des domaines de disponibilité.

    1. Dans la page de liste Cibles de montage du service de stockage de fichiers, sélectionnez la cible de montage du service de stockage de fichiers avec laquelle vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou la cible de montage du service de stockage de fichiers, voir Liste des cibles de montage.
    2. Dans la page des détails, sélectionnez l'onglet Sécurité, puis Ajouter un attribut de sécurité.
    3. Dans le panneau Ajouter un attribut de sécurité, entrez les informations suivantes :
      • Espace de noms d'attribut de sécurité : Un espace de noms d'attribut de sécurité est un conteneur pour un jeu d'attributs de sécurité dans ZPR (Zero Trust Packet Routing).
      • Clé d'attribut de sécurité : Nom d'un attribut de sécurité spécifique.
      • Valeur d'attribut de sécurité : Valeur d'un attribut de sécurité spécifique.

      Ces valeurs doivent correspondre à une politique ZPR existante. Pour plus d'informations sur les attributs de sécurité et les espaces de noms d'attributs de sécurité, voir Routage de paquets Zéro confiance.

    4. Lorsque vous avez terminé, sélectionnez Ajouter des attributs de sécurité.

  • Utilisez la commande fs mount-target update et les paramètres requis pour ajouter des associations de sécurité à une cible de montage :

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir .

  • Exécutez l'opération UpdateMountTarget pour ajouter des associations de sécurité à une cible de montage.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.