Zero Trust Packet Routing Politiques IAM
Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) pour créer des politiques permettant de contrôler l'accès au service ZPR (Zero Trust Packet Routing).
Voir Informations détaillées sur les services de base pour plus d'informations sur les politiques IAM pour le service de réseau et le service de calcul.
Types de ressource individuels
zpr-policy
zpr-security-attribute
Types de ressource agrégés
zpr-family
security-attribute-family
Une politique qui utilise un type de ressource agrégé, par exemple <verb> zpr-family, équivaut à écrire une politique avec un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.
Voir le tableau sous Informations détaillées sur les combinaisons Verbes + Type de ressource pour plus d'informations sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans zpr-family et security-attribute-family.
Variables prises en charge
Zero Trust Packet Routing prend en charge toutes les variables générales, plus celles listées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Détails sur les combinaisons Verbes + Type de ressource.
| Variable | Type de variable | Commentaires |
|---|---|---|
target.security-attribute-namespace.name
|
Chaîne | Utilisez cette variable pour contrôler s'il faut autoriser les opérations sur un espace de noms d'attribut de sécurité spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un espace de noms d'attribut de sécurité, ou pour voir les informations relatives aux demandes de travail pour un espace de noms d'attribut de sécurité. |
target.security-attribute-namespace.id
|
Entité | Cette variable n'est prise en charge que dans les énoncés accordant des autorisations pour le type de ressource security-attribute-namespaces. |
Détails pour les combinaisons Verbes + Type de ressource
Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage.
Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule qui la précède directement, alors que la mention no extra indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe read pour le type de ressource zpr-policy inclut les mêmes autorisations et opérations d'API que le verbe inspect, mais ajoute également l'opération d'API GetZprPolicy. De même, le verbe manage pour le type de ressource zpr-policy autorise encore plus d'autorisations que l'autorisation use. Pour le type de ressource zpr-policy, le verbe manage inclut les mêmes autorisations et opérations d'API que le verbe use, plus les autorisations ZPR_POLICY_CREATE et ZPR_POLICY_DELETE, et les opérations d'API applicables (CreateZprPolicy et DeleteZprPolicy).
| Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
ZPR_POLICY_INSPECT |
|
aucune |
| lire |
INSPECT + ZPR_POLICY_READ |
INSPECT +
|
aucune |
| use |
READ + ZPR_POLICY_UPDATE |
|
aucune |
| manage |
USE + ZPR_POLICY_CREATE ZPR_POLICY_DELETE |
USE +
|
aucune |
| Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
|
aucune |
|
| lire |
INSPECT + ZPR_CONFIGURATION_READ |
INSPECT +
|
aucune |
| use |
READ + ZPR_CONFIGURATION_UPDATE |
|
aucune |
| manage |
USE + ZPR_CONFIGURATION_CREATE ZPR_CONFIGURATION_DELETE |
USE +
|
aucune |
| Verbes | Permissions | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
aucune |
| lire |
INSPECT + SECURITY_ATTRIBUTE_NAMESPACE_READ |
INSPECT +
|
aucune |
| use |
READ + SECURITY_ATTRIBUTE_NAMESPACE_USE |
aucune |
|
| manage |
USE + SECURITY_ATTRIBUTE_NAMESPACE_CREATE SECURITY_ATTRIBUTE_NAMESPACE_DELETE SECURITY_ATTRIBUTE_NAMESPACE_MOVE SECURITY_ATTRIBUTE_NAMESPACE_UPDATE ZPR_CONFIGURATION_DELETE |
USE +
|
aucune |
Autorisations requises pour chaque opération d'API
Les sections suivantes répertorient les opérations API Zero Trust Packet Routing et API Security Attribute.
Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
| Opérations d'API | Autorisations requises pour utiliser l'opération |
|---|---|
|
|
ZPR_POLICY_INSPECT |
CreateZprPolicy
|
ZPR_POLICY_CREATE |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
UpdateZprPolicy
|
ZPR_POLICY_UPDATE |
DeleteZprPolicy
|
ZPR_POLICY_DELETE |
CreateConfiguration
|
ZPR_CONFIGURATION_CREATE |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
UpdateConfiguration
|
ZPR_CONFIGURATION_UPDATE |
DeleteConfiguration
|
ZPR_CONFIGURATION_DELETE |
Le tableau suivant liste les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
| Opérations d'API | Autorisations requises pour utiliser l'opération |
|---|---|
CreateSecurityAttributeNamespace
|
SECURITY_ATTRIBUTE_NAMESPACE_CREATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
ChangeSecurityAttributeNamespaceCompartment
|
SECURITY_ATTRIBUTE_NAMESPACE_MOVE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_READ |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_READ |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_USE |
Exemples de politique
Utilisez les exemples suivants pour en savoir plus sur les politiques IAM Zero Trust Packet Routing.
Pour utiliser le service ZPR (Zero Trust Packet Routing), les utilisateurs doivent disposer des autorisations suivantes pour les autres ressources Oracle Cloud Infrastructure :
- Lire les instances de calcul
- Lire les ressources de base de données
- Inspecter les demandes de travail
Pour en savoir plus, voir Informations détaillées sur les services de base, notamment le service de réseau et le service de calcul.
-
Autoriser les utilisateurs du groupe
SecurityAdminsà créer, mettre à jour et supprimer toutes les politiques ZPR dans l'ensemble de la location :Allow group SecurityAdmins to manage zpr-configuration in tenancy Allow group SecurityAdmins to manage security-attribute-namespace in tenancy Allow group SecurityAdmins to manage zpr-policy in tenancy -
Autoriser les utilisateurs du groupe
SecurityAuditorsà voir toutes les ressources ZPR de la location :Allow group SecurityAuditors to read zpr-configuration in tenancy Allow group SecurityAuditors to read zpr-policy in tenancy Allow group SecurityAuditors to read security-attribute-namespace in tenancy Autorisez le groupe
app-adminà gérer uniquement l'espace de noms d'attribut de sécuritéapplicationset le groupedatabase-adminà gérer uniquement l'espace de noms d'attribut de sécuritédatabase.etAllow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'