Documentation Oracle Cloud Infrastructure

Ajout d'attributs de sécurité à une cible de montage

Use Zero Trust Packet Routing with a mount target.

Vous pouvez utiliser Zero Trust Packet Routing (ZPR) avec ou à la place des groupes de sécurité réseau pour gérer l'accès réseau aux ressources OCI. Pour ce faire, définissez des stratégies ZPR qui régissent la façon dont les ressources communiquent les unes avec les autres, puis ajoutez des attributs de sécurité à ces ressources. Pour plus d'informations, reportez-vous à la section Zero Trust Packet Routing.
Attention

Si une adresse possède un attribut de sécurité Zero Trust Packet Routing (ZPR), le trafic vers l'adresse doit satisfaire aux stratégies ZPR, ainsi qu'à toutes les règles de groupe de sécurité réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité réseau et que vous ajoutez un attribut de sécurité à une adresse, tout le trafic vers cette adresse est bloqué. Ensuite, une stratégie ZPR doit autoriser explicitement le trafic vers l'adresse.

Stratégie IAM requise

Pour utiliser ZPR avec des cibles de montage File Storage, créez une stratégie IAM qui accorde au service File Storage le droit d'inspecter et d'utiliser l'espace de noms d'attribut de sécurité requis par ZPR.

Par exemple, vous pouvez utiliser la stratégie suivante :

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

Le nom de l'utilisateur du service File Storage dépend du domaine . Pour les domaines dont le numéro de clé de domaine est inférieur ou égal à 10, le modèle de l'utilisateur du service File Storage est FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines dont le numéro de clé de domaine est supérieur à 10 ont un utilisateur de service de fssocprod. Pour plus d'informations sur les domaines, reportez-vous à la section About Regions and Availability Domains.

    1. Sur la page de liste Cibles de montage File Storage, sélectionnez la cible de montage File Storage à utiliser. Si vous avez besoin d'aide pour trouver la page de liste ou la cible de montage File Storage, reportez-vous à Liste des cibles de montage.
    2. Sur la page de détails, sélectionnez l'onglet Sécurité, puis Ajouter un attribut de sécurité.
    3. Dans le panneau Ajouter un attribut de sécurité, entrez les informations suivantes :
      • Espace de noms d'attribut de sécurité : un espace de noms d'attribut de sécurité est un conteneur pour un ensemble d'attributs de sécurité dans Zero Trust Packet Routing (ZPR).
      • Clé d'attribut de sécurité : nom d'un attribut de sécurité spécifique.
      • Valeur d'attribut de sécurité : valeur d'un attribut de sécurité spécifique.

      Ces valeurs doivent correspondre à une stratégie ZPR existante. Pour plus d'informations sur les attributs de sécurité et les espaces de noms d'attribut de sécurité, reportez-vous à Zero Trust Packet Routing.

    4. Lorsque vous avez terminé, sélectionnez Ajouter des attributs de sécurité.

  • Utilisez la commande fs mount-target update et les paramètres requis pour ajouter des associations de sécurité à une cible de montage :

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération UpdateMountTarget pour ajouter des associations de sécurité à une cible de montage.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.