Documentation sur Oracle Cloud Infrastructure

Attributs de sécurité

Un attribut de sécurité est une étiquette qui peut être référencée dans la politique ZPR (Zero Trust Packet Routing) pour contrôler l'accès aux ressources prises en charge.

Lorsque vous activez ZPR, il crée un exemple d'attribut de sécurité nommé sensitivity dans l'espace de noms d'attribut de sécurité oracle-zpr. Vous pouvez modifier ou supprimer l'attribut de sécurité sensitivity.

Autorisations requises pour l'utilisation d'attributs de sécurité

Pour appliquer, mettre à jour ou supprimer un attribut de sécurité pour une ressource, un utilisateur doit se voir accorder des autorisations sur la ressource et des autorisations pour utiliser l'espace de noms d'attribut de sécurité.

L'accès use doit être accordé aux utilisateurs dans l'espace de noms des attributs de sécurité pour appliquer, mettre à jour ou supprimer un attribut de sécurité pour une ressource. Par exemple, pour autoriser UserGroupA à accéder à l'espace de noms d'attribut de sécurité public :

Allow UserGroupA to use security-attribute-namespace in tenancy where target.security-attribute-namespace.name='public'

Pour autoriser l'accès à UserGroupA sur tous les espaces de noms d'attribut de sécurité d'une location : 

Allow UserGroupA to use security-attribute-namespace in tenancy

En plus des autorisations d'utilisation de l'espace de noms des attributs de sécurité, l'utilisateur doit également être autorisé à mettre à jour la ressource pour appliquer ou supprimer des attributs de sécurité. Pour de nombreuses ressources, l'autorisation de mise à jour est accordée avec le verbe use. Par exemple, les utilisateurs qui peuvent utiliser des instances dans CompartmentA peuvent également appliquer, mettre à jour ou supprimer des attributs de sécurité pour les instances dans CompartmentA.

allow UserGroupA to use instance-family in tenancy

Pour certaines ressources, l'autorisation de mise à jour n'est pas incluse avec le verbe use. Pour permettre à un groupe d'appliquer, de mettre à jour ou de supprimer des attributs de sécurité pour ces ressources sans leur accorder les autorisations complètes de gestion, vous pouvez ajouter un énoncé de politique afin d'accorder seulement l'autorisation '<resource>_ update' du verbe manage. Par exemple, pour permettre au groupe NetworkUsers d'utiliser des réseaux en nuage virtuels avec des attributs de sécurité dans CompartmentA, vous pouvez écrire une politique comme suit :


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

L'autorisation inspect pour une ressource permet de voir les attributs de sécurité de cette ressource. Par exemple, les utilisateurs qui peuvent inspecter des instances peuvent également voir tous les attributs de sécurité appliqués à ces instances.

Pour des informations sur les autorisations d'accès aux ressources, voir Informations de référence sur les politiques. Pour plus d'informations sur les politiques IAM ZPR, voir Politiques IAM de routage de trousse de confiance zéro.

Informations de base sur les attributs de sécurité

Vous pouvez appliquer jusqu'à trois attributs de sécurité à chaque ressource prise en charge. Voir Limites pour plus d'informations sur les limites dans le routage ZPR (Zero Trust Packet Routing).

Les noms d'attribut de sécurité ont les mêmes conventions d'attribution de nom que les espaces de noms d'attribut de sécurité. Les seuls caractères valides pour les noms d'attribut de sécurité sont les suivants :

  • 0-9
  • A-Z
  • a-z
  • - (en tiret)
  • _ (trait de soulignement)

Les noms d'attribut de sécurité doivent commencer par une lettre a-z et doivent être uniques dans le même espace de noms d'attribut de sécurité. Les noms d'attribut de sécurité ne sont pas sensibles à la casse, ce qui signifie que, par exemple, mySecurityAttribute et mysecurityattribute ne sont pas autorisés dans le même espace de noms. Si vous spécifiez un nom qui est déjà utilisé dans l'espace de noms d'attribut de sécurité, vous recevez une erreur.

Chaque attribut de sécurité doit avoir une description. Il n'est pas nécessaire que les descriptions soient uniques et qu'elles soient mis à jour plus tard.

Un statut est affecté à chaque attribut de sécurité selon l'emplacement de l'attribut dans son cycle de vie :

ACTIF
L'attribut de sécurité est actif.
INACTIF
L'attribut de sécurité a été désactivé.
SUPPRESSION
L'attribut de sécurité est en cours de suppression.
SUPPRIMÉ
L'attribut de sécurité est supprimé.

Lorsque vous n'avez plus besoin d'un attribut de sécurité, vous pouvez le supprimer. Pour supprimer un attribut de sécurité, vous devez d'abord le mettre hors service. Seul un attribut de sécurité mis hors service peut être supprimé.

Voir Gestion des attributs de sécurité pour les opérations que vous pouvez effectuer pour gérer les attributs de sécurité.

Valeurs de l'attribut de sécurité

Pour organiser davantage les ressources, vous affectez des valeurs à un attribut de sécurité.

Par exemple, pour organiser ses ressources, une société applique les attributs de sécurité suivants :

  • applications
  • réseaux
  • bases de données

Pour catégoriser davantage les ressources, la société définit les types de valeur suivants sur les attributs de sécurité :

  • applications
    • application RH
    • application de gestion de la paie
    • Avantages sociaux
  • réseaux
    • réseau frontal
    • réseau arrière
  • bases de données
    • Bases de données autonomes
    • cloud-autonome-vmclustersouth
    • Grappes de machines infonuagiques
    • db-systems

ZPR fournit les options suivantes pour appliquer des types de valeur aux attributs de titre :

Statique
L'utilisateur entre une valeur.
Liste de valeurs
L'utilisateur effectue une sélection dans une liste de valeurs fournies.

Vous pouvez définir des types de valeur lorsque vous créez ou mettez à jour un attribut de sécurité ou lorsque vous gérez vos ressources protégées.