Documentation Oracle Cloud Infrastructure

Stratégies IAM pour Zero Trust Packet Routing

Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) afin de créer des stratégies pour contrôler l'accès au service Zero Trust Packet Routing (ZPR).

Pour plus d'informations sur les stratégies IAM pour Networking et Compute, reportez-vous à Détails des services de base.

Types de ressource individuels

zpr-policy

zpr-security-attribute

Types de ressource agrégés

zpr-family

security-attribute-family

Une stratégie qui utilise un type agrégé de ressource, par exemple, <verb> zpr-family, équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource.

Reportez-vous au tableau dans Détails des combinaisons de verbes et de type de ressource afin d'obtenir des informations détaillées sur les opérations d'API couvertes par chaque verbe, pour chaque modèle individuel de ressource inclus dans zpr-family et security-attribute-family.

Variables prises en charge

Zero Trust Packet Routing prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Détails relatifs aux combinaisons de verbes et de type de ressource.

Variable Type de variable Commentaires
target.security-attribute-namespace.name Chaîne (String) Utilisez cette variable pour déterminer si les opérations doivent être autorisées sur un espace de noms d'attribut de sécurité spécifique en réponse à une demande de lecture, de mise à jour, de suppression ou de déplacement d'un espace de noms d'attribut de sécurité, ou pour visualiser les informations relatives aux demandes de travail pour un espace de noms d'attribut de sécurité.
target.security-attribute-namespace.id Entité Cette variable est prise en charge uniquement dans les instructions octroyant des droits d'accès pour le type de ressource security-attribute-namespaces.

Détails des combinaisons de verbe et de type de ressource

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage.

Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente, tandis que la mention no extra n'indique aucun accès incrémentiel.

Par exemple, le terme read pour le type de ressource zpr-policy inclut les mêmes droits d'accès et opérations d'API que le terme inspect, mais ajoute l'opération d'API GetZprPolicy. De même, le verbe manage pour le type de ressource zpr-policy accorde encore plus de droits d'accès que use. Pour le type de ressource zpr-policy, le verbe manage inclut les mêmes droits d'accès et opérations d'API que le verbe use, plus les droits d'accès ZPR_POLICY_CREATE et ZPR_POLICY_DELETE, ainsi que les opérations d'API applicables (CreateZprPolicy et DeleteZprPolicy).

stratégie zpr
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

ZPR_POLICY_INSPECT

ListZprPolicies

ListZprPolicyWorkRequests

Aucun
lu

INSPECT +

ZPR_POLICY_READ

INSPECT +

GetZprPolicy

GetZprPolicyWorkRequest

ListZprPolicyWorkRequestErrors

ListZprPolicyWorkRequestLogs

Aucun
utiliser

READ +

ZPR_POLICY_UPDATE

UpdateZprPolicy

 

Aucun
manage

USE +

ZPR_POLICY_CREATE

ZPR_POLICY_DELETE

USE +

CreateZprPolicy

DeleteZprPolicy

Aucun
configuration zpr
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

Aucun
lu

INSPECT +

ZPR_CONFIGURATION_READ

INSPECT +

GetConfiguration

GetZprConfigurationWorkRequest

ListZprConfigurationWorkRequests

ListZprConfigurationWorkRequestErrors

ListZprConfigurationWorkRequestLogs

Aucun
utiliser

READ +

ZPR_CONFIGURATION_UPDATE

UpdateConfiguration

 

Aucun
manage

USE +

ZPR_CONFIGURATION_CREATE

ZPR_CONFIGURATION_DELETE

USE +

CreateConfiguration

DeleteConfiguration

Aucun
security-attribute-namespace
Verbes Droits d'accès API entièrement couvertes API partiellement couvertes
inspect

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttributeNamespace

ReadSecurityAttribute

SecurityAttributeWorkRequest

Aucun
lu

INSPECT +

SECURITY_ATTRIBUTE_NAMESPACE_READ

INSPECT +

ReadSecurityAttributeNamespace

ReadSecurityAttribute

Aucun
utiliser

READ +

SECURITY_ATTRIBUTE_NAMESPACE_USE

 

Aucun
manage

USE +

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

ZPR_CONFIGURATION_DELETE

USE +

CreateSecurityAttributeNamespace

DeleteSecurityAttributeNamespace

CascadeDeleteSecurityAttributeNamespace

DeleteSecurityAttribute

ChangeCompartment pour SecurityAttributeNamespace

UpdateSecurityAttributeNamespace

CreateSecurityAttribute

UpdateSecurityAttribute

Aucun

Droits d'accès requis pour chaque opération d'API

Les sections suivantes répertorient les opérations d'API Zero Trust Packet Routing et d'API d'attribut de sécurité.

Opérations d'API Zero Trust Packet Routing

Le tableau suivant présente les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération

ListZprPolicies

ListZprPolicyWorkRequests

 ZPR_POLICY_INSPECT
CreateZprPolicy ZPR_POLICY_CREATE

GetZprPolicy

 ZPR_POLICY_READ

GetZprPolicyWorkRequest

 ZPR_POLICY_READ

ListZprPolicyWorkRequestErrors

 ZPR_POLICY_READ

ListZprPolicyWorkRequestLogs

 ZPR_POLICY_READ
UpdateZprPolicy ZPR_POLICY_UPDATE
DeleteZprPolicy ZPR_POLICY_DELETE
CreateConfiguration ZPR_CONFIGURATION_CREATE

GetConfiguration

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequests

 ZPR_CONFIGURATION_READ

GetZprConfigurationWorkRequest

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestErrors

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestLogs

 ZPR_CONFIGURATION_READ
UpdateConfiguration ZPR_CONFIGURATION_UPDATE
DeleteConfiguration ZPR_CONFIGURATION_DELETE
Opérations d'API d'attribut de sécurité

Le tableau suivant présente les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
CreateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

DeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

CascadeDeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

DeleteSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

SecurityAttributeWorkRequest

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
ChangeSecurityAttributeNamespaceCompartment SECURITY_ATTRIBUTE_NAMESPACE_MOVE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_READ

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_READ

UpdateSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

CreateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_USE

Exemples de stratégie

Use the following examples to learn about Zero Trust Packet Routing IAM policies.

Pour utiliser le service Zero Trust Packet Routing (ZPR), les utilisateurs ont besoin des droits d'accès suivants pour les autres ressources Oracle Cloud Infrastructure :

  • Lire les instances de calcul
  • Lire les ressources de base de données
  • Inspecter des demandes de travail

Pour en savoir plus, reportez-vous à Détails des services de base, y compris Networking et Compute.

Exemples de stratégie IAM ZPR

  • Autorisez les utilisateurs du groupe SecurityAdmins à créer, à mettre à jour et à supprimer toutes les stratégies ZPR dans l'ensemble de la location :

    Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

  • Autorisez les utilisateurs du groupe SecurityAuditors à visualiser toutes les ressources ZPR de la location :

    Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

  • Autorisez le groupe app-admin à gérer uniquement l'espace de noms d'attribut de sécurité applications et le groupe database-admin à gérer uniquement l'espace de noms d'attribut de sécurité database.

    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'
    et
    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'