Politiques du service de protection d'infrastructure en nuage

Pour contrôler qui a accès au service de protection d'infrastructure en nuage et le type d'accès pour chaque groupe d'utilisateurs, vous devez créer des politiques.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources du service de protection d'infrastructure en nuage. Pour tous les autres qui sont impliqués dans Cloud Guard, vous devez créer des politiques qui leur attribuent les droits appropriés sur les ressources Cloud Guard.

Pour une liste complète des politiques Oracle Cloud Infrastructure, voir Informations de référence sur les politiques.

Types de ressource

Le service de protection d'infrastructure en nuage offre des types de ressource agrégés et individuels pour l'écriture de politiques.

Vous pouvez utiliser des types de ressource agrégés pour réduire le nombre de politiques à rédiger. Par exemple, au lieu de permettre à un groupe de gérer cloud-guard-detectors et cloud-guard-problems, vous pouvez définir une politique autorisant le groupe à gérer le type de ressource agrégé, cloud-guard-family.


Type de ressource agrégé	Types de ressource individuels
`cloud-guard-family`	`cloud-guard-adhoc-query` `cloud-guard-condition-metadata-types` `cloud-guard-config` `cloud-guard-coverage` `cloud-guard-data-mask-rules` `cloud-guard-data-sources` `cloud-guard-detector-recipes` `cloud-guard-detector-rule-definitions` `cloud-guard-detectors` `cloud-guard-findings` `cloud-guard-managed-lists` `cloud-guard-metadata` `cloud-guard-meta-data-sync` `cloud-guard-problems` `cloud-guard-recommendations` `cloud-guard-resource-profile` `cloud-guard-resource-types` `cloud-guard-resource-view` `cloud-guard-responder-recipes` `cloud-guard-responder-rules` `cloud-guard-responder-executions` `cloud-guard-risk-scores` `cloud-guard-saved-query` `cloud-guard-schemas` `cloud-guard-security-scores` `cloud-guard-service-logging` `cloud-guard-signals` `cloud-guard-summary-event` `cloud-guard-target-detector-rules` `cloud-guard-targets` `cloud-guard-user-preferences` `security-policy` `security-recipe` `security-zone`

Les API couvertes pour le type de ressource agrégé cloud-guard-family concernent toutes les API listées sous "Types de ressources individuels" dans le tableau précédent.

Par exemple,

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

... équivaut à rédiger 20 politiques dans ce format :

allow group cloudguard-admins to manage <resource_type> in compartment <x>

Note

Si le groupe d'administrateurs du service de protection d'infrastructure en nuage ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :

allow group <identity_domain_name>/cloudguard-admins to manage cloud-guard-family in compartment <x>

Détails pour les combinaisons Verbes + Type de ressource

Tableaux des permissions et des opérations d'API couvertes par chaque verbe pour Cloud Guard.

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel. Pour plus d'informations sur les autorisations dans Oracle Cloud Infrastructure, voir Autorisations.

cloud-guard-adhoc-query

Les API couvertes pour le type de ressource cloud-guard-adhoc-query sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_ADHOC_QUERY_INSPECT	`ListAdhocQueries`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_ADHOC_QUERY_READ	`GetAdhocQuery`
	`ListAdhocQueryResults`
	`GetAdhocQueryResultContent`
USE
READ +	READ +	aucune
CG_ADHOC_QUERY_CREATE	`CreateAdhocQuery`	aucune
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-condition-metadata-types

Les API couvertes pour le type de ressource cloud-guard-condition-metadata-types sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_CONDITION_METADATA_TYPES_INSPECT	`ListCloudGuardConditionMetadataType`	aucune
READ		aucun accès supplémentaire
INSPECT+	INSPECT+
CG_CONDITION_METADATA_TYPES_READ	`GetCloudGuardConditionMetadataType`
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-config

Les API couvertes pour le type de ressource cloud-guard-config sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_CONFIG_INSPECT	`GetCloudGuard`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_CONFIG_READ	`GetCloudGuard`	aucune
USE
READ +	READ +	aucune
CG_CONFIG_UPDATE	`UpdateCloudGuard`	aucune
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-coverage

Les API couvertes pour le type de ressource cloud-guard-coverage sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_COVERAGE_INSPECT	`RequestSummarizedCoverage`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-data-mask-rules

Les API couvertes pour le type de ressource cloud-guard-data-mask-rules sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_DATA_MASK_RULE_INSPECT	`ListDataMaskRules`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_DATA_MASK_RULE_READ	`GetDataMaskRule`	aucune
USE
READ +	READ +	aucune
CG_DATA_MASK_RULE_UPDATE	`UpdateDataMaskRule`	aucune
MANAGE		aucune
USE +	USE +	aucune
CG_DATA_MASK_RULE_CREATE	`CreateDataMaskRule`
CG_DATA_MASK_RULE_DELETE	`DeleteDataMaskRule`

cloud-guard-data-sources

Les API couvertes pour le type de ressource cloud-guard-data-sources sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_DATA_SOURCE_INSPECT	`ListDataSources`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_DATA_SOURCE_READ	`GetDataSource`	aucune
USE
READ +	READ +	aucune
CG_DATA_SOURCE_UPDATE	`UpdateDataSource`	aucune
MANAGE		aucune
USE +	USE +	aucune
CG_DATA_SOURCE_CREATE	`CreateDataSource`
CG_DATA_SOURCE_DELETE	`DeleteDataSource`
CG_DATA_SOURCE_MOVE	`ChangeDataSourceCompartment`

cloud-guard-detectors

Les API couvertes pour le type de ressource cloud-guard-detectors sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_DETECTOR_INSPECT	`ListCloudGuardDetectors`	aucune
CG_DETECTOR_INSPECT	`ListCloudGuardDetectorRules`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_DETECTOR_READ	`GetCloudGuardDetector`
CG_DETECTOR_READ	`GetCloudGuardDetectorRule`
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-detector-recipes

Les API couvertes pour le type de ressource cloud-guard-detector-recipes sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipe`	aucune
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipeDetectorRules`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipeDetectorRule`
USE
READ +	READ +	aucune
CG_DETECTOR_RECIPE_UPDATE	`UpdateCloudGuardDetectorRecipe`
	`ChangeCloudGuardDetectorRecipeCompartment`
	`UpdateCloudGuardDetectorRecipeDetectorRule`
MANAGE
USE +	USE +	aucune
CG_DETECTOR_RECIPE_CREATE	`CreateCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_DELETE	`DeleteCloudGuardDetectorRecipe`

cloud-guard-detector-rule-definitions

Les API couvertes pour le type de ressource cloud-guard-detector-rule-definitions sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_DETECTOR_RULE_DEFINITION_INSPECT	`ListDetectorRuleDefinitions`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_DETECTOR_RULE_DEFINITION_READ	`GetDetectorRuleDefinition`	aucune
USE
READ +	READ +	aucune
CG_DETECTOR_RULE_DEFINITION_UPDATE	`UpdateDetectorRuleDefinition`	aucune
MANAGE
USE +	USE +	aucune
CG_DETECTOR_RULE_DEFINITION_CREATE	`CreateDetectorRuleDefinition`
CG_DETECTOR_RULE_DEFINITION_DELETE	`DeleteDetectorRuleDefinition`

cloud-guard-findings

Les API couvertes pour le type de ressource cloud-guard-findings sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
INSPECT	aucun accès supplémentaire	aucun accès supplémentaire
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE
CG_FINDING_CREATE	`CreateCloudGuardFinding`	aucune

cloud-guard-managed-lists

Les API couvertes pour le type de ressource cloud-guard-managed-lists sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedLists`	aucune
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedListTypes`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_MANAGED_LIST_READ	`GetCloudGuardManagedList`	aucune
USE
READ +	READ +	aucune
CG_MANAGED_LIST_UPDATE	`UpdateCloudGuardManagedList`	aucune
MANAGE
USE +	USE +	aucune
CG_MANAGED_LIST_CREATE	`CreateCloudGuardManagedList`
CG_MANAGED_LIST_DELETE	`DeleteCloudGuardManagedList`
CG_MANAGED_LIST_MOVE	`ChangeManagedListCompartment`

cloud-guard-metadata

Les API couvertes pour le type de ressource cloud-guard-metadata sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_METADATA_INSPECT	`ListTactics`	aucune
CG_METADATA_INSPECT	`ListTechniques`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-meta-data-sync

Les API couvertes pour le type de ressource cloud-guard-meta-data-sync sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT	aucun accès supplémentaire	aucun accès supplémentaire
aucune	aucune	aucune
READ
INSPECT +	INSPECT +	aucune
CG_METADATASYNC_READ	`GetMetaDataSyncStatus`	aucune
USE
READ +	READ +	aucune
CG_METADATASYNC_UPDATE	`UpdateResourceSync`	aucune
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-problems

Les API couvertes pour le type de ressource cloud-guard-problems sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_PROBLEM_INSPECT	`ListCloudGuardProblems`	aucune
	`ListCloudGuardProblemHistories`
	`ListCloudGuardResponderActivities`
	`RequestCloudGuardSummarizedActivityProblems`
READ
INSPECT +	INSPECT +	aucune
CG_PROBLEM_READ	`GetCloudGuardProblem`
	`RequestCloudGuardSummarizedProblems`
	`RequestCloudGuardSummarizedTrendProblems`
	`ListCloudGuardImpactedResources`
USE
READ +	READ +	aucune
CG_PROBLEM_UPDATE	`UpdateCloudGuardBulkProblemStatus`
	`UpdateCloudGuardProblemStatus`
	`TriggerCloudGuardResponder`
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-recommendations

Les API couvertes pour le type de ressource cloud-guard-recommendations sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RECOMMENDATION_INSPECT	`ListCloudGuardRecommendations`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-resource-profile

Les API couvertes pour le type de ressource cloud-guard-resource-profile sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RESOURCE_PROFILE_INSPECT	`ListResourceProfiles`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_RESOURCE_PROFILE_READ	`GetResourceProfile`
	`ListResourceProfileEndpoints`
	`ListResourceProfileImpactedResources`
	`RequestSummarizedTopTrendResourceRiskScores`
	`RequestSummarizedTrendResourceRiskScores`
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-resource-types

Les API couvertes pour le type de ressource cloud-guard-cloud-guard-resource-types sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RESOURCE_TYPES_INSPECT	`ListCloudGuardResourceTypes`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-resource-view

Les API couvertes pour le type de ressource cloud-guard-resource-view sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RESOURCE_VIEW_INSPECT	`ListResources`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_RESOURCE_VIEW_READ	`GetResource`	aucune
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-responder-recipes

Les API couvertes pour le type de ressource cloud-guard-cloud-guard-responder-recipes sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipe`	aucune
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipeResponderRule`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipeResponderRule`
USE
READ +	READ +	aucune
CG_RESPONDER_RECIPE_UPDATE	`UpdateCloudGuardResponderRecipe`
	`ChangeCloudGuardResponderRecipeCompartment`
	`UpdateCloudGuardResponderRecipeResponderRule`
MANAGE
USE +	USE +	aucune
CG_RESPONDER_RECIPE_CREATE	`CreateCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_DELETE	`DeleteCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_MOVE	`ChangeResponderRecipeCompartment`

cloud-guard-responder-executions

Les API couvertes pour le type de ressource cloud-guard-responder-executions sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RESPONDER_EXECUTION_INSPECT	`ListCloudGuardResponderExecution`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_RESPONDER_EXECUTION_READ	`GetCloudGuardResponderExecution`
	`RequestCloudGuardSummarizedResponderExecutions`
	`RequestCloudGuardSummarizedTrendResponderExecutions`
USE
READ +	READ +	aucune
CG_RESPONDER_EXECUTION_UPDATE	`ExecuteCloudGuardResponderExecution`	aucune
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-risk-scores

Les API couvertes pour le type de ressource cloud-guard-risk-scores sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_RISK_SCORES_INSPECT	`RequestCloudGuardSummarizedRiskScores`	aucune
CG_RISK_SCORES_INSPECT	`RequestCloudGuardRiskScores`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-saved-query

Les API couvertes pour le type de ressource cloud-guard-saved-query sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_SAVED_QUERY_INSPECT	`ListSavedQueries`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_SAVED_QUERY_READ	`GetSavedQuery`	aucune
USE
READ +	READ +	aucune
CG_SAVED_QUERY_UPDATE	`UpdateSavedQuery`	aucune
MANAGE
USE +	USE +	aucune
CG_SAVED_QUERY_CREATE	`CreateSavedQuery`
CG_SAVED_QUERY_DELETE	`DeleteSavedQuery`
CG_SAVED_QUERY_MOVE	`ChangeWlpSavedQueryCompartment`

cloud-guard-schemas

Les API couvertes pour le type de ressource cloud-guard-schemas sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_SCHEMA_INSPECT	`ListSchemas`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_SCHEMA_READ	`GetSchema`	aucune
USE
READ +	READ +	aucune
CG_SCHEMA_UPDATE	`UpdateSchema`	aucune
MANAGE
USE +	USE +	aucune
CG_SCHEMA_CREATE	`CreateSchema`
CG_SCHEMA_DELETE	`DeleteSchema`

cloud-guard-security-scores

Les API couvertes pour le type de ressource cloud-guard-security-scores sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_SECURITY_SCORES_INSPECT	`RequestCloudGuardSummarizedSecurityScores`	aucune
	`RequestCloudGuardSummarizedTrendSecurityScores`
	`RequestCloudGuardSecurityScores`
	`RequestSecurityScoreSummarizedTrend`
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-service-logging

Les API couvertes pour le type de ressource cloud-guard-service-logging sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
INSPECT	`ListCloudGuardProblems`	aucun accès supplémentaire
READ
INSPECT +	INSPECT +	aucune
CG_SERVICE_LOGGING_READ	`GetServiceLogging`	aucune
USE
READ +	READ +	aucune
CG_SERVICE_LOGGING_UPDATE	`UpdateServiceLogging`	aucune
MANAGE
USE +	USE +	aucune
CG_SERVICE_LOGGING_CREATE	`CreateServiceLogging`
CG_SERVICE_LOGGING_DELETE	`DeleteServiceLogging`

cloud-guard-signals

Les API couvertes pour le type de ressource cloud-guard-signals sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT	aucun accès supplémentaire	aucun accès supplémentaire
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE
USE +	USE +	aucune
CG_SIGNAL_CREATE	`CreateCloudGuardSignal`	aucune

cloud-guard-summary-event

Les API couvertes pour le type de ressource cloud-guard-summary-event sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT	aucun accès supplémentaire	aucun accès supplémentaire
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE
USE +	USE +	aucune
CG_SUMMARY_EVENT_CREATE	`AddSummaryEvent`	aucune

cloud-guard-targets

Les API couvertes pour le type de ressource cloud-guard-targets sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_TARGET_INSPECT	`ListCloudGuardTargets`	aucune
	`ListCloudGuardTargetDetectorRecipes`
	`ListCloudGuardTargetDetectorRecipeDetectorRules`
READ
INSPECT +	INSPECT +	aucune
CG_TARGET_READ	`GetCloudGuardTarget`
	`ListCloudGuardTargetResponderRecipes`
	`GetCloudGuardTargetResponderRecipe`
	`ListCloudGuardTargetResponderRecipeResponderRules`
	`GetCloudGuardTargetResponderRecipeResponderRule`
	`GetCloudGuardTargetDetectorRecipe`
	`GetCloudGuardTargetDetectorRecipeDetectorRule`
USE
READ +	READ +	aucune
CG_TARGET_UPDATE	`UpdateCloudGuardTarget`
	`UpdateCloudGuardTargetDetectorRule`
	`CreateCloudGuardTargetResponderRecipe`
	`ChangeCloudGuardTargetResponderRecipeCompartment`
	`UpdateCloudGuardTargetResponderRecipe`
	`UpdateCloudGuardTargetResponderRecipeResponderRule`
	`CreateCloudGuardTargetDetectorRecipe`
	`ChangeCloudGuardTargetDetectorRecipeCompartment`
	`UpdateCloudGuardTargetDetectorRecipe`
MANAGE
USE +	USE +	aucune
CG_TARGET_CREATE	`CreateCloudGuardTarget`
CG_TARGET_DELETE	`DeleteCloudGuardTarget`
	`DeleteCloudGuardTargetResponderRecipe`
	`DeleteCloudGuardTargetDetectorRecipe`

cloud-guard-user-preferences

Les API couvertes pour le type de ressource cloud-guard-user-preferences sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_USER_PREFERENCE_INSPECT	`GetCloudGuardUserPreference`	aucune
READ	aucun accès supplémentaire	aucun accès supplémentaire
USE
READ +	READ +	aucune
USE +	USE +	aucune
CG_USER_PREFERENCE_UPDATE	`ReplaceCloudGuardUserPreference`	aucune
MANAGE	aucun accès supplémentaire	aucun accès supplémentaire

cloud-guard-work-requests

Les API couvertes pour le type de ressource cloud-guard-work-requests sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Autorisations	API entièrement couvertes	API partiellement couvertes
INSPECT
CG_WORK_REQUEST_INSPECT	`LListWorkRequests`	aucune
READ
INSPECT +	INSPECT +	aucune
CG_WORK_REQUEST_READ	`GetWorkRequest`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
USE	aucun accès supplémentaire	aucun accès supplémentaire
MANAGE
USE +	USE +	aucune
CG_WORK_REQUEST_DELETE	`CancelWorkRequest`	aucune

politique de sécurité


Opération d'API	Permissions requises pour utiliser l'opération
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe

Les API couvertes pour le type de ressource security-recipe sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Verbe	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`SECURITY_RECIPE_INSPECT`	`ListSecurityRecipes`	aucune
`read`	`inspect+` `SECURITY_RECIPE_READ`	`GetSecurityRecipe`	aucune
`use`	`read+` `SECURITY_RECIPE_UPDATE`	`UpdateSecurityRecipe`	aucune
`manage`	`use+` `SECURITY_RECIPE_CREATE` `SECURITY_RECIPE_DELETE`	`CreateSecurityRecipe` `DeleteSecurityRecipe`	aucune

security-zone

Les API couvertes pour le type de ressource security-zone sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque permission.


Verbe	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`SECURITY_ZONE_INSPECT`	`ListSecurityZones`	aucune
`read`	`inspect+` `SECURITY_ZONE_READ`	`GetSecurityZone`	aucune
`use`	`read+` `SECURITY_ZONE_ATTACH` `SECURITY_ZONE_DETACH` `SECURITY_ZONE_UPDATE`	`AddCompartment` `RemoveCompartment` `UpdateSecurityZone`	aucune
`manage`	`use+` `SECURITY_ZONE_CREATE` `SECURITY_ZONE_DELETE`	`CreateSecurityZone` `DeleteSecurityZone`	aucune

Permissions requises pour chaque opération d'API

Les tables répertorient les opérations d'API dans un ordre logique, regroupées par type de ressource.

Les types de ressource sont répertoriés dans Types de ressource, dans la colonne "Types de ressource individuels".

Pour plus d'informations sur les permissions, voir Permissions.

cloud-guard-adhoc-query


Opération d'API	Permissions requises pour utiliser l'opération
`ListAdhocQueries`	CG_ADHOC_QUERY_INSPECT
`GetAdhocQuery`	CG_ADHOC_QUERY_READ
`ListAdhocQueryResults`	CG_ADHOC_QUERY_READ
`GetAdhocQueryResultContent`	CG_ADHOC_QUERY_READ
`CreateAdhocQuery`	CG_ADHOC_QUERY_CREATE

cloud-guard-condition-metadata-types


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_INSPECT
`GetCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_READ

cloud-guard-config


Opération d'API	Permissions requises pour utiliser l'opération
`GetCloudGuard`	CG_CONFIG_INSPECT CG_CONFIG_READ
`UpdateCloudGuard`	CG_CONFIG_UPDATE

cloud-guard-couverture


Opération d'API	Permissions requises pour utiliser l'opération
`RequestSummarizedCoverage`	CG_COVERAGE_INSPECT

cloud-guard-data-mask-rules


Opération d'API	Permissions requises pour utiliser l'opération
`CreateDataMaskRule`	CG_DATA_MASK_RULE_CREATE
`DeleteDataMaskRule`	CG_DATA_MASK_RULE_DELETE
`GetDataMaskRule`	CG_DATA_MASK_RULE_READ
`ListDataMaskRules`	CG_DATA_MASK_RULE_INSPECT
`UpdateDataMaskRule`	CG_DATA_MASK_RULE_UPDATE

cloud-guard-data-sources


Opération d'API	Permissions requises pour utiliser l'opération
`ChangeDataSourceCompartment`	CG_DATA_SOURCE_MOVE
`CreateDataSource`	CG_DATA_SOURCE_CREATE
`DeleteDataSource`	CG_DATA_SOURCE_DELETE
`GetDataSource`	CG_CONFIG_READ
`ListDataSources`	CG_DATA_SOURCE_INSPECT
`UpdateDataSource`	CG_DATA_SOURCE_UPDATE

cloud-guard-detectors


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardDetectors`	CG_DETECTOR_INSPECT
`ListCloudGuardDetectorRules`	CG_DETECTOR_INSPECT
`GetCloudGuardDetector`	CG_DETECTOR_READ
`GetCloudGuardDetectorRule`	CG_DETECTOR_READ

cloud-guard-detector-recipes


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_INSPECT
`GetCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_READ
`CreateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_CREATE
`UpdateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_UPDATE
`DeleteCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_DELETE
`ChangeDetectorRecipeCompartment`	CG_DETECTOR_RECIPE_MOVE

cloud-guard-detector-rule-definitions


Opération d'API	Permissions requises pour utiliser l'opération
`CreateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_CREATE
`DeleteDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_DELETE
`GetDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_READ
`ListDetectorRuleDefinitions`	CG_DETECTOR_RULE_DEFINITION_INSPECT
`UpdateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_UPDATE

cloud-guard-findings


Opération d'API	Permissions requises pour utiliser l'opération
`CreateCloudGuardFinding`	CG_FINDING_CREATE

cloud-guard-managed-lists


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardManagedLists`	CG_MANAGED_LIST_INSPECT
`ListCloudGuardManagedListTypes`	CG_MANAGED_LIST_INSPECT
`GetCloudGuardManagedList`	CG_MANAGED_LIST_READ
`CreateCloudGuardManagedList`	CG_MANAGED_LIST_CREATE
`UpdateCloudGuardManagedList`	CG_MANAGED_LIST_UPDATE
`DeleteCloudGuardManagedList`	CG_MANAGED_LIST_DELETE
`ChangeManagedListCompartment`	CG_MANAGED_LIST_MOVE

métadonnées de protection du nuage


Opération d'API	Permissions requises pour utiliser l'opération
`ListTactics`	CG_METADATA_INSPECT
`ListTechniques`	CG_METADATA_INSPECT

cloud-guard-meta-data-sync


Opération d'API	Permissions requises pour utiliser l'opération
`UpdateResourceSync`	CG_METADATASYNC_UPDATE
`GetMetaDataSyncStatus`	CG_METADATASYNC_READ

cloud-guard-problems


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardProblems`	CG_PROBLEM_INSPECT
`ListCloudGuardProblemHistories`	CG_PROBLEM_INSPECT
`ListCloudGuardResponderActivities`	CG_PROBLEM_INSPECT
`GetCloudGuardProblem`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedProblems`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedTrendProblems`	CG_PROBLEM_READ
`ListCloudGuardImpactedResources`	CG_PROBLEM_READ
`UpdateCloudGuardBulkProblemStatus`	CG_PROBLEM_UPDATE
`UpdateCloudGuardProblemStatus`	CG_PROBLEM_UPDATE
`TriggerCloudGuardResponder`	CG_PROBLEM_UPDATE

cloud-guard-recommendations


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardRecommendations`	CG_RECOMMENDATION_INSPECT

profil de ressource cloud-guard


Opération d'API	Permissions requises pour utiliser l'opération
`GetResourceProfile`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileEndpoints`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileImpactedResources`	CG_RESOURCE_PROFILE_READ
`ListResourceProfiles`	CG_RESOURCE_PROFILE_INSPECT
`RequestSummarizedTopTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ
`RequestSummarizedTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ

cloud-guard-resource-types


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardResourceTypes`	CG_RESOURCE_TYPES_INSPECT

cloud-guard-resource-vue


Opération d'API	Permissions requises pour utiliser l'opération
`ListResources`	CG_RESOURCE_VIEW_INSPECT
`GetResource`	CG_RESOURCE_VIEW_READ

cloud-guard-responder-recipes


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_INSPECT
`ListCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_INSPECT
`GetCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_READ
`GetCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_READ
`CreateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_CREATE
`UpdateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_UPDATE
`ChangeCloudGuardResponderRecipeCompartment`	CG_RESPONDER_RECIPE_UPDATE
`UpdateCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_UPDATE
`DeleteCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_DELETE
`ChangeResponderRecipeCompartment`	CG_RESPONDER_RECIPE_MOVE

cloud-guard-responder-rules


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardResponderRules`	CG_RESPONDER_RULE_INSPECT
`GetCloudGuardResponderRule`	CG_RESPONDER_RULE_READ

cloud-guard-responder-executions


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_INSPECT
`GetCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedTrendResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`ExecuteCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardBulkResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE

cloud-guard-risk-scores


Opération d'API	Permissions requises pour utiliser l'opération
`RequestCloudGuardSummarizedRiskScores`	CG_RISK_SCORES_INSPECT
`RequestCloudGuardRiskScores`	CG_RISK_SCORES_INSPECT

requête cloud-guard-saved


Opération d'API	Permissions requises pour utiliser l'opération
`ChangeSavedQueryCompartment`	CG_SAVED_QUERY_MOVE
`CreateSavedQuery`	CG_SAVED_QUERY_CREATE
`DeleteSavedQuery`	CG_SAVED_QUERY_DELETE
`GetSavedQuery`	CG_SAVED_QUERY_READ
`ListSavedQueries`	CG_SAVED_QUERY_INSPECT
`UpdateSavedQuery`	CG_SAVED_QUERY_INSPECT

cloud-guard-schemas


Opération d'API	Permissions requises pour utiliser l'opération
`CreateSchema`	CG_SCHEMA_CREATE
`DeleteSchema`	CG_SCHEMA_DELETE
`GetSchema`	CG_SCHEMA_READ
`ListSchemas`	CG_SCHEMA_INSPECT
`UpdateSchema`	CG_SCHEMA_UPDATE

cloud-guard-security-scores


Opération d'API	Permissions requises pour utiliser l'opération
`RequestCloudGuardSummarizedSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSummarizedTrendSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestSecurityScoreSummarizedTrend`	CG_SECURITY_SCORES_INSPECT

cloud-guard-service-journalisation


Opération d'API	Permissions requises pour utiliser l'opération
`CreateServiceLogging`	CG_SERVICE_LOGGING_CREATE
`DeleteServiceLogging`	CG_SERVICE_LOGGING_DELETE
`GetServiceLogging`	CG_SERVICE_LOGGING_READ
`UpdateCloudGuard`	CG_SERVICE_LOGGING_CREATE

cloud-guard-signals


Opération d'API	Permissions requises pour utiliser l'opération
`CreateCloudGuardSignal`	CG_SIGNAL_CREATE

cloud-guard-summary-event


Opération d'API	Permissions requises pour utiliser l'opération
`AddSummaryEvent`	CG_SUMMARY_EVENT_CREATE

cloud-guard-targets


Opération d'API	Permissions requises pour utiliser l'opération
`ListCloudGuardTargets`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipes`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipeDetectorRules`	CG_TARGET_INSPECT
`GetCloudGuardTarget`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipes`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipe`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipeResponderRules`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipe`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_READ
`CreateCloudGuardTarget`	CG_TARGET_CREATE
`UpdateCloudGuardTarget`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetResponderRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetDetectorRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_UPDATE
`DeleteCloudGuardTarget`	CG_TARGET_DELETE
`DeleteCloudGuardTargetResponderRecipe`	CG_TARGET_DELETE
`DeleteCloudGuardTargetDetectorRecipe`	CG_TARGET_DELETE

cloud-guard-user-preferences


Opération d'API	Permissions requises pour utiliser l'opération
`GetCloudGuardUserPreference`	CG_USER_PREFERENCE_INSPECT
`ReplaceCloudGuardUserPreference`	CG_USER_PREFERENCE_UPDATE

cloud-guard-work-requêtes


Opération d'API	Permissions requises pour utiliser l'opération
`CancelWorkRequest`	CG_WORK_REQUEST_DELETE
`GetWorkRequest`	CG_WORK_REQUEST_READ
`ListWorkRequestErrors`	CG_WORK_REQUEST_READ
`ListWorkRequestLogs`	CG_WORK_REQUEST_READ

politique de sécurité


Opération d'API	Permissions requises pour utiliser l'opération
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe


Opération d'API	Permissions requises pour utiliser l'opération
`ListSecurityRecipes`	`SECURITY_RECIPE_INSPECT`
`GetSecurityRecipe`	`SECURITY_RECIPE_READ`
`CreateSecurityRecipe`	`SECURITY_RECIPE_CREATE`
`UpdateSecurityRecipe`	`SECURITY_RECIPE_UPDATE`
`DeleteSecurityRecipe`	`SECURITY_RECIPE_DELETE`

security-zone


Opération d'API	Permissions requises pour utiliser l'opération
`ListSecurityZones`	`SECURITY_ZONE_INSPECT`
`GetSecurityZone`	`SECURITY_ZONE_READ`
`CreateSecurityZone`	`SECURITY_ZONE_CREATE`
`UpdateSecurityZone`	`SECURITY_ZONE_UPDATE`
`DeleteSecurityZone`	`SECURITY_ZONE_DELETE`
`AddCompartment`	`SECURITY_ZONE_ATTACH`
`RemoveCompartment`	`SECURITY_ZONE_DETACH`

Création d'une politique

Procédure de création d'une politique de prise en charge des appels d'API REST du service Cloud Guard.

Voici comment créer une politique :

Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous identité, sélectionnez Politiques.
Sélectionnez Créer une politique.
Entrez le nom et la description de la politique.
Évitez d'entrer des informations confidentielles.
Dans le champ État, entrez une règle de politique au format suivant :

allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>
Sélectionnez Créer.

Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques et Informations de référence sur les politiques.

Exemples de politique

Découvrez les politiques IAM du service de protection d'infrastructure en nuage à l'aide d'exemples.

Autoriser les utilisateurs du groupe SecurityAdmins à créer, mettre à jour et supprimer toutes les ressources du service de protection d'infrastructure en nuage dans l'ensemble de la location :
```
Allow group SecurityAdmins to manage cloud-guard-family in tenancy
```
Autoriser les utilisateurs du groupe SecurityAdmins à créer, mettre à jour et supprimer toutes les zones de sécurité et les recettes dans l'ensemble de la location :
```
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
```

Autoriser les utilisateurs du groupe SecurityAuditors à voir les zones de sécurité et les recettes du compartiment SecurityArtifacts :

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Pour obtenir d'autres exemples de politique, voir Énoncés de politique pour les utilisateurs.