Documentation Oracle Cloud Infrastructure

Attributs de sécurité

Un attribut de sécurité est une étiquette qui peut être référencée dans la stratégie Zero Trust Packet Routing (ZPR) pour contrôler l'accès aux ressources prises en charge.

Lorsque vous activez ZPR, il crée un exemple d'attribut de sécurité nommé sensitivity dans l'espace de noms d'attribut de sécurité oracle-zpr. Vous pouvez modifier ou supprimer l'attribut de sécurité sensitivity.

Droits d'accès requis pour utiliser des attributs de sécurité

Afin d'appliquer, de mettre à jour ou d'enlever un attribut de sécurité pour une ressource, l'utilisateur doit disposer de droits d'accès sur la ressource et de droits d'accès pour utiliser l'espace de noms d'attribut de sécurité.

L'accès use doit être accordé aux utilisateurs sur l'espace de noms d'attribut de sécurité afin d'appliquer, de mettre à jour ou d'enlever un attribut de sécurité pour une ressource. Par exemple, pour autoriser l'accès UserGroupA à l'espace de noms d'attribut de sécurité public, procédez comme suit :

Allow UserGroupA to use security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

Pour autoriser l'accès à UserGroupA sur tous les espaces de noms d'attribut de sécurité d'une location, procédez comme suit : 

Allow UserGroupA to use security-attribute-namespaces in tenancy

Outre les droits d'accès permettant d'utiliser l'espace de noms d'attribut de sécurité, l'utilisateur doit également être autorisé à mettre à jour la ressource pour appliquer ou enlever des attributs de sécurité. Pour de nombreuses ressources, le droit d'accès de mise à jour est accordé avec le verbe use. Par exemple, les utilisateurs pouvant utiliser des instances dans CompartmentA peuvent également appliquer, mettre à jour ou enlever des attributs de sécurité pour les instances dans CompartmentA.

allow UserGroupA to use instance-family in tenancy

Pour certaines ressources, le verbe use ne permet pas d'effectuer une mise à jour. Afin d'autoriser un groupe à appliquer, à mettre à jour ou à enlever des attributs de sécurité pour ces ressources sans accorder les droits d'accès complets de gestion, vous pouvez ajouter une instruction de stratégie visant à accorder uniquement le droit '<resource>_ update' du verbe manage. Par exemple, pour autoriser le groupe NetworkUsers à utiliser des réseaux cloud virtuels avec des attributs de sécurité dans CompartmentA, vous pouvez écrire une stratégie telle que la suivante :


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

Le droit d'accès inspect sur une ressource octroie des droits permettant de visualiser les attributs de sécurité de cette ressource. Par exemple, les utilisateurs qui peuvent inspecter des instances peuvent également afficher les attributs de sécurité qui y sont appliqués.

Pour plus d'autres informations sur les droits d'accès aux ressources, reportez-vous à Référence de stratégie. Pour plus d'informations sur les stratégies IAM ZPR, reportez-vous à Stratégies IAM pour Zero Trust Packet Routing.

Principes de base des attributs de sécurité

Vous pouvez appliquer jusqu'à trois attributs de sécurité à chaque ressource prise en charge. Pour plus d'informations sur les limites dans Zero Trust Packet Routing (ZPR), reportez-vous à Limites.

Les noms d'attribut de sécurité ont les mêmes conventions de dénomination que les espaces de noms d'attribut de sécurité. Les seuls caractères valides pour les noms d'attribut de sécurité sont les suivants :

  • 0-9
  • A-Z
  • a-z
  • - (en tiret)
  • _ (trait de soulignement)

Les noms d'attribut de sécurité doivent commencer par une lettre a-z et doivent être uniques dans le même espace de noms d'attribut de sécurité. Les noms d'attribut de sécurité ne sont pas sensibles à la casse, ce qui signifie que, par exemple, mySecurityAttribute et mysecurityattribute ne sont pas autorisés dans le même espace de noms. Si vous indiquez un nom déjà utilisé dans l'espace de noms d'attribut de sécurité, vous recevez une erreur.

Chaque attribut de sécurité doit avoir une description. Les descriptions ne doivent pas nécessairement être uniques et peuvent être mises à jour ultérieurement.

Un statut est affecté à chaque attribut de sécurité en fonction de l'emplacement de cet attribut dans son cycle de vie :

ACTIVE
L'attribut de sécurité est actif.
INACTIVE
L'attribut de sécurité a été désactivé.
DELETING
L'attribut de sécurité est en cours de suppression.
SUPPRIMÉ :
L'attribut de sécurité est supprimé.

Lorsque vous n'avez plus besoin d'un attribut de sécurité, vous pouvez le supprimer. Pour supprimer un attribut de sécurité, vous devez d'abord l'enlever. Seul un attribut de sécurité retiré peut être supprimé.

Pour connaître les opérations que vous pouvez effectuer pour gérer les attributs de sécurité, reportez-vous à Gestion des attributs de sécurité.

Valeurs d'attribut de sécurité

Pour mieux organiser les ressources, vous affectez des valeurs à un attribut de sécurité.

Par exemple, pour organiser ses ressources, une société applique les attributs de sécurité suivants :

  • applications
  • réseaux
  • bases de données

Pour affiner le classement des ressources, la société définit les types de valeur suivants sur les attributs de sécurité :

  • applications
    • application rh
    • application de paie
    • avantages sociaux-application
  • réseaux
    • réseau frontal
    • réseau arrière
  • bases de données
    • autonomous-databases
    • cloud-autonome-vmclustersouth
    • cloud-vmclusters
    • db-systems

ZPR fournit les options suivantes pour appliquer des types de valeur aux attributs de sécurité :

Statique
L'utilisateur entre une valeur.
Liste de valeurs
L'utilisateur effectue une sélection dans une liste de valeurs fournies.

Vous pouvez définir des types de valeur lorsque vous créez ou mettez à jour un attribut de sécurité, ou lorsque vous gérez vos ressources protégées.