Stratégies IAM pour Network Firewall
Créez des stratégies de sécurité dans Oracle Cloud Infrastructure Identity and Access Management (IAM).
Par défaut, seuls les utilisateurs du groupe Administrators ont accès à l'ensemble des ressources et des fonctions dans le service Network Firewall. Pour contrôler l'accès des utilisateurs non administrateurs aux fonctions et aux ressources de pare-feu réseau, créez des groupes IAM, puis écrivez des stratégies afin d'accorder l'accès aux groupes d'utilisateurs.
Pour obtenir la liste complète des stratégies Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.
Types de ressource
Network Firewall offre des types de ressource individuels et agrégés pour l'écriture des stratégies.
Vous pouvez utiliser des types de ressource agrégés pour écrire moins de stratégies. Par exemple, au lieu d'autoriser un groupe à gérer network-firewall et network-firewall-policy, vous pouvez écrire une stratégie autorisant le groupe à gérer le type de ressource agrégé network-firewall-family.
| Type agrégé de ressource | Types individuels de ressource |
|---|---|
network-firewall-family |
|
Les API couvertes pour le type de ressource agrégé network-firewall-family couvrent les API pour work-requests.
Variables prises en charge
Découvrez les variables prises en charge par Oracle Cloud Infrastructure Network Firewall.
Network Firewall prend en charge toutes les variables générales. Reportez-vous à Variables générales pour toutes les demandes.
Détails des combinaisons de verbe et de type de ressource
Oracle Cloud Infrastructure comprend différents verbes et types de ressource que vous pouvez utiliser pour créer une stratégie.
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe pour Network Firewall. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel.
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
aucune |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
aucune |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (requiert également use network-firewall-policy pour modifier la stratégie de pare-feu et use network-security-groups pour modifier les groupes de sécurité réseau associés) |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
(requiert également Si des groupes de sécurité réseau sont associés au pare-feu, requiert également DeleteNetworkFirewall (requiert également Si des groupes de sécurité réseau sont associés au pare-feu, requiert également Les opérations de réseau ci-dessus sont totalement couvertes par |
| Verbes | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
aucune |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
aucune |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (requiert également use network-firewall pour modifier le pare-feu associé) |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
aucune |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API pour Oracle Cloud Infrastructure Network Firewall dans un ordre logique, regroupées par type de ressource.
Ce tableau répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource, ainsi que les droits d'accès requis pour network-firewall et network-firewall-policy :
| Opération d'API | Droits d'accès |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (pour attacher une stratégie au pare-feu) Droits d'accès requis pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (compartiment du sous-réseau) + PRIVATE_IP_CREATE (compartiment du sous-réseau) + PRIVATE_IP_ASSIGN (compartiment du sous-réseau) + VNIC_ASSIGN (compartiment du sous-réseau) + PRIVATE_IP_DELETE (compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (compartiment du sous-réseau) + VNIC_UNASSIGN Sous-réseau (compartiment du sous-réseau) + SUBNET_DETACH (compartiment du sous-réseau) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (pour mettre à jour l'association de stratégie) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (pour mettre à jour les groupes de sécurité réseau associés) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (pour mettre à jour les associations de groupe de sécurité réseau) Droits d'accès requis pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (compartiment du sous-réseau) + PRIVATE_IP_CREATE (compartiment du sous-réseau) + PRIVATE_IP_ASSIGN (compartiment du sous-réseau) + VNIC_ASSIGN (compartiment du sous-réseau) + SUBNET_ATTACH (compartiment du sous-réseau) + VNIC_ASSIGN (compartiment du sous-réseau) + PRIVATE_IP_DELETE (compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (compartiment du sous-réseau) + SUBNET_DETACH (compartiment du sous-réseau) + VNIC_UNASSIGN (compartiment du sous-réseau) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartiment de carte d'identité virtuelle) + VNIC_ATTACHMENT_READ (compartiment de carte d'identité virtuelle) + SUBNET_DETACH (compartiment de sous-réseau) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (pour mettre à jour les groupes de sécurité réseau associés) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (pour mettre à jour les associations de groupe de sécurité réseau) Droits d'accès requis pour utiliser NAT sur le pare-feu PRIVATE_IP_READ (compartiment du sous-réseau) + PRIVATE_IP_DELETE (compartiment du sous-réseau) + PRIVATE_IP_UNASSIGN (compartiment du sous-réseau) + VNIC_UNASSIGN Sous-réseau (compartiment du sous-réseau) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Création de stratégies IAM pour le service Network Firewall
Découvrez comment créer des stratégies Identity and Access Management (IAM) pour le service Network Firewall.
Afin de créer des stratégies pour un groupe d'utilisateurs, vous devez connaître le nom du groupe IAM.
Pour créer une stratégie, procédez comme suit :
- Dans le menu de navigation de la console, accédez à identité et sécurité, puis sous identité, sélectionnez Stratégies.
- Sélectionnez Créer une stratégie.
- Entrez le nom et la description (facultatif) de la stratégie.
- Sélectionnez le compartiment dans lequel créer la stratégie.
- Sélectionnez Afficher l'éditeur manuel. Entrez ensuite les instructions de stratégie dont vous avez besoin.
- (Facultatif) Sélectionnez Créer une autre stratégie pour rester sur la page Créer une stratégie après avoir créé cette stratégie.
- Sélectionnez Créer.
Reportez-vous également à Fonctionnement des stratégies, à Syntaxe de stratégie et à Référence de stratégie.
Stratégie IAM commune pour le service Network Firewall
Utilisez cette stratégie IAM pour créer et gérer des ressources Network Firewall.
Autoriser les groupes d'utilisateurs à créer, modifier et supprimer des pare-feu et des stratégies de pare-feu
Type d'accès : permet de créer, de modifier ou de supprimer un pare-feu ou une stratégie de pare-feu. Les fonctions d'administration pour les pare-feu ou les stratégies de pare-feu permettent de les créer, de les mettre à jour et de les supprimer.
Emplacement de création de la stratégie : dans la location, afin que la possibilité de créer, de modifier ou de supprimer une ressource de pare-feu soit accordée à tous les compartiments par le biais de l'héritage de stratégies. Pour limiter la portée des pare-feu d'un compartiment particulier, indiquez ce compartiment au lieu de la location.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>