Politiques IAM de pare-feu de réseau
Créez des politiques de sécurité dans le service Oracle Cloud Infrastructure Identity and Access Management (IAM).
Par défaut, seuls les utilisateurs du groupe Administrators peuvent accéder à toutes les ressources et fonctions du service de pare-feu de réseau. Pour contrôler l'accès des utilisateurs non administrateurs aux ressources et fonctions du pare-feu de réseau, créez des groupes IAM, puis écrivez des politiques pour accorder l'accès aux groupes d'utilisateurs.
Pour obtenir la liste complète des politiques Oracle Cloud Infrastructure, voir Inférence sur les politiques.
Types de ressource
Le service de pare-feu de réseau propose à la fois des types de ressource globaux et individuels pour la rédaction des politiques.
Vous pouvez utiliser des types de ressource agrégés pour réduire le nombre de politiques à rédiger. Par exemple, au lieu de permettre à un groupe de gérer network-firewall et network-firewall-policy, vous pouvez définir une politique autorisant le groupe à gérer le type de ressource agrégé network-firewall-family.
| Type de ressource agrégé | Types de ressource individuels |
|---|---|
network-firewall-family |
|
Les API couvertes pour le type de ressource agrégé network-firewall-family couvrent les API pour work-requests.
Variables prises en charge
Découvrez quelles variables sont prises en charge par Oracle Cloud Infrastructure Network Firewall.
Network Firewall prend en charge toutes les variables générales. Voir Variables générales pour toutes les demandes.
Détails pour les combinaisons Verbes + Type de ressource
Plusieurs verbes et types de ressource Oracle Cloud Infrastructure peuvent être utilisés pour créer une politique.
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour le pare-feu de réseau. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
aucune |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
aucune |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (requiert également use network-firewall-policy pour modifier la politique de pare-feu et use network-security-groups pour modifier les groupes de sécurité de réseau associés). |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
doit également lire Si des groupes de sécurité de réseau sont associés au pare-feu, DeleteNetworkFirewall requiert également Si des groupes de sécurité de réseau sont associés au pare-feu, Les opérations de réseau ci-dessus sont entièrement couvertes par |
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
aucune |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
aucune |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (requiert également use network-firewall pour modifier le pare-feu auquel il est associé). |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API pour Oracle Cloud Infrastructure Network Firewall dans un ordre logique, regroupées par type de ressource.
Ce tableau répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource, ainsi que les autorisations requises pour network-firewall et network-firewall-policy :
| Opération d'API | Permissions |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (pour attacher une politique au pare-feu) Autorisations requises pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (Compartiment du sous-réseau) + PRIVATE_IP_CREATE (Compartiment du sous-réseau) + PRIVATE_IP_ASSIGN (Compartiment du sous-réseau) + VNIC_ASSIGN (Compartiment du sous-réseau) + PRIVATE_IP_DELETE (Compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (Compartiment du sous-réseau) + VNIC_UNASSIGN (Compartiment du sous-réseau) + SUBNET_DETACH (Compartiment du sous-réseau) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (pour mettre à jour l'association de politique) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (pour mettre à jour les groupes de sécurité de réseau associés) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (pour mettre à jour les associations de groupes de sécurité de réseau) Autorisations requises pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (Compartiment du sous-réseau) + PRIVATE_IP_CREATE (Compartiment du sous-réseau) + PRIVATE_IP_ASSIGN (Compartiment du sous-réseau) + VNIC_ASSIGN (Compartiment du sous-réseau) + SUBNET_ATTACH (Compartiment du sous-réseau) + VNIC_ASSIGN (Compartiment du sous-réseau) + PRIVATE_IP_DELETE (Compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (Compartiment du sous-réseau) + SUBNET_DETACH (Compartiment du sous-réseau) + VNIC_UNASSIGN (Compartiment du sous-réseau) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartiment vnic) + VNIC_ATTACHMENT_READ (compartiment vnic) + SUBNET_DETACH (Compartiment du sous-réseau) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (pour mettre à jour les groupes de sécurité de réseau associés) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (pour mettre à jour les associations de groupes de sécurité de réseau) Autorisations requises pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (Compartiment du sous-réseau) + PRIVATE_IP_DELETE (Compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (Compartiment du sous-réseau) + VNIC_UNASSIGN Sous-réseau (Compartiment du sous-réseau) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Créer des politiques IAM pour le service de pare-feu de réseau
Voyez comment créer des politiques de gestion des identités et des accès (IAM) pour le service de pare-feu de réseau.
Pour créer des politiques pour un groupe d'utilisateurs, vous devez connaître le nom du groupe IAM.
Pour créer une politique :
- Dans le menu de navigation de la console, allez à Identité et sécurité, sous Identité, sélectionnez Politiques.
- Sélectionnez Créer une politique.
- Entrez un Nom et une Description (facultative) pour la politique.
- Sélectionnez le compartiment dans lequel créer la politique.
- Sélectionnez Afficher l'éditeur manuel. Entrez ensuite les énoncés de politique dont vous avez besoin.
- (Facultatif) Sélectionnez Créer une autre politique pour rester dans la page Créer une politique après avoir créé cette politique.
- Sélectionnez Créer.
Voir aussi Fonctionnement des politiques, Syntaxe de politique et Informations de référence sur les politiques.
Politique IAM commune pour le service de pare-feu de réseau
Utilisez cette politique IAM pour créer et gérer des ressources de pare-feu de réseau.
Permettre aux groupes d'utilisateurs de créer, modifier et supprimer des pare-feu et des politiques de pare-feu
Type d'accès : Permet de créer, de modifier ou de supprimer un pare-feu ou une politique de pare-feu. Les fonctions d'administration pour les pare-feu ou les politiques de pare-feu permettent de les créer, de les mettre à jour et de les supprimer.
Où créer la politique : dans la location pour que tous les compartiments puissent créer, modifier ou supprimer une ressource de pare-feu au moyen de l'héritage des politiques. Pour réduire la portée des pare-feu d'un compartiment particulier, indiquez ce compartiment au lieu de la location.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>