Syntaxe d'une politique

Les attributs de sécurité identifient le VCN et les points d'extrémité dans le VCN.

Un attribut de sécurité est composé d'un espace de noms d'attribut de sécurité et d'une clé d'attribut de sécurité séparés par un point, et d'une valeur séparée par un deux-points :

Les espaces de noms des attributs de sécurité, ainsi que les clés et les valeurs des attributs de sécurité sont limités par des limites spécifiques. Il est important de noter que les espaces de noms d'attributs de sécurité et les clés d'attributs de sécurité ne doivent pas contenir d'espace ni de point. Toutefois, les valeurs peuvent contenir des espaces, des points et des apostrophes. Si un attribut de sécurité dont la valeur contient plus que le nombre autorisé de caractères est référencé, l'ensemble de la clause d'attribut de sécurité est placé entre apostrophes. Tout caractère guillemet simple dans la valeur doit être précédé d'un autre caractère guillemet simple. Exemple :

app:fin-network

oracle-zpr.app:fe-nodes

my-corp.biz:hr

'my-corp.biz:dev and test db'

Voir Attributs de sécurité pour plus d'informations sur les attributs de sécurité et les autorisations requises pour les utiliser.

Les énoncés de politique ZPR utilisent la syntaxe et les règles suivantes lorsque la source et la cible résident dans le même VCN :

in <location> <command> <source endpoint> <verb> <destination endpoint>

• <location> est obligatoire et doit avoir le format in <security attribute> VCN. <security attribute> doit être spécifié et il ne peut s'agir que d'un seul attribut de sécurité.
• <command> doit être allow.
• <source endpoint> doit être security attribute, ip address, all-endpoints ou osn-services-ip-addresses.
• <verb> doit être to connect to.
• <destination endpoint> doit être security attribute, ip address, all-endpoints ou osn-services-ip-addresses.

Par exemple, l'énoncé de politique suivant exprime l'intention d'autoriser le trafic entre des points d'extrémité dans le même VCN :

in app:fin-network VCN allow app:web endpoints to connect to app:store endpoints

Le VCN est identifié par son attribut de sécurité et est soumis à la politique qui le référence. L'énoncé d'autorisation s'applique à chaque VCN avec cet attribut de sécurité. Les clauses de point d'extrémité identifient la source ou la cible du trafic avec l'attribut de sécurité spécifié dans un VCN :

Le mot clé all-endpoints indique tout point d'extrémité à l'intérieur ou à l'extérieur du VCN, qu'il porte ou non des attributs de sécurité. Le point d'extrémité source et le point d'extrémité cible ne peuvent pas tous les deux être all-endpoint. Il faut en identifier un (liste d'attributs de point d'extrémité).

Le trafic entre les points d'extrémité peut encore être limité dans une politique en filtrant sur ip-address et un ou plusieurs des attributs de filtre de réseau autorisés : protocol, protocol.icmp.type, protocol.icmp.code et connection-state.

ip-address ou osn-services-ip-addresses peut être une cible ou une source. Toutefois, vous ne pouvez pas utiliser ip-address et osn-services-ip-addresses sur les points d'extrémité source et cible; ip-address et osn-services-ip-addresses doivent être la source ou la cible. Exemple :

in applications.apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints

Les énoncés de politique ZPR utilisent la syntaxe et les règles suivantes lorsque les réseaux en nuage virtuels source et cible résident dans la même région et la même location, et que les deux réseaux en nuage virtuels utilisent des attributs de sécurité :

<command> <source endpoints> in <source location> to <verb> <destination endpoints> in <destination location>

• <command> doit être allow.
• <source endpoint> doit être security attribute.
  Note
  
  Pour faire référence à un point d'extrémité par adresse IP ou intervalle de blocs CIDR, utilisez la syntaxe de politique pour un seul VCN.
• <source location> est requis et doit être dans le format in <security attribute> VCN. <security attribute> doit être spécifié et il ne peut s'agir que d'un seul attribut de sécurité.
• <verb> doit être to connect to.
• <destination endpoint> doit être security attribute.
• <destination location> est requis et doit être dans le format in <security attribute> VCN. <security attribute> doit être spécifié et il ne peut s'agir que d'un seul attribut de sécurité.

Par exemple, l'énoncé de politique suivant exprime l'intention d'autoriser le trafic depuis ou vers des points d'extrémité dans deux réseaux en nuage virtuels de la même région :

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

Les réseaux en nuage virtuels sont identifiés par leurs attributs de sécurité et sont soumis aux politiques qui les référencent. L'énoncé d'autorisation s'applique à chaque VCN doté de ces attributs de sécurité. Les clauses de point d'extrémité identifient la source ou la cible du trafic avec l'attribut de sécurité spécifié dans un VCN :

Le trafic vers et depuis les points d'extrémité peut encore être limité dans la politique en filtrant avec un ou plusieurs des attributs de filtre de réseau autorisés : protocol, protocol.icmp.type, protocol.icmp.code et connection-state.

Pour autoriser le trafic vers ou depuis une source ou une destination sans attribut de sécurité défini (par exemple, un autre VCN, une autre région, un réseau sur place ou Internet), spécifiez l'adresse IP ou le bloc CIDR dans une politique ZPR à l'aide de la syntaxe de politique de VCN unique.

Par exemple, l'énoncé de politique suivant exprime l'intention d'autoriser le trafic depuis ou vers des points d'extrémité à l'adresse IP spécifiée, peu importe où réside la ressource ou si des attributs de sécurité lui sont appliqués :

in front-end:network VCN allow loadbalancer:web to connect to '0.0.0.0/0'