Syntaxe de stratégie

Les attributs de sécurité identifient le VCN et les adresses au sein du VCN.

Un attribut de sécurité est composé d'un espace de noms d'attribut de sécurité et d'une clé d'attribut de sécurité séparés par un point, et d'une valeur séparée par deux points :

Les espaces de noms d'attribut de sécurité, ainsi que les clés et valeurs d'attribut de sécurité sont limités par des limites spécifiques. Il est important de noter que les espaces de noms d'attribut de sécurité et les clés d'attribut de sécurité ne doivent pas contenir d'espace ni de point. Les valeurs peuvent toutefois contenir des espaces, des points et des apostrophes. Si un attribut de sécurité dont la valeur contient plus de caractères que le nombre autorisé est référencé, l'intégralité de la clause de l'attribut de sécurité est placée entre apostrophes. Tout guillemet unique dans la valeur doit être échappé à l'aide d'une apostrophe. Par exemple :

app:fin-network

oracle-zpr.app:fe-nodes

my-corp.biz:hr

'my-corp.biz:dev and test db'

Pour plus d'informations sur les attributs de sécurité et les droits d'accès requis pour les utiliser, reportez-vous à Attributs de sécurité.

Les instructions de stratégie ZPR utilisent la syntaxe et les règles suivantes lorsque la source et la cible résident dans le même VCN :

in <location> <command> <source endpoint> <verb> <destination endpoint>

• <location> est requis et doit être au format in <security attribute> VCN. <security attribute> doit être indiqué et ne peut être qu'un seul attribut de sécurité.
• <command> doit être allow.
• <source endpoint> doit être security attribute, ip address, all-endpoints ou osn-services-ip-addresses.
• <verb> doit être to connect to.
• <destination endpoint> doit être security attribute, ip address, all-endpoints ou osn-services-ip-addresses.

Par exemple, l'instruction de stratégie suivante exprime l'intention d'autoriser le trafic entre les adresses au sein du même VCN :

in app:fin-network VCN allow app:web endpoints to connect to app:store endpoints

Le VCN est identifié par son attribut de sécurité et est soumis à la stratégie qui le référence. L'instruction allow s'applique à chaque VCN avec cet attribut de sécurité. Les clauses endpoint identifient la source ou la cible du trafic avec l'attribut de sécurité spécifié au sein d'un VCN :

Le mot-clé all-endpoints signifie toute adresse à l'intérieur ou à l'extérieur du VCN, qu'elle porte ou non des attributs de sécurité. L'adresse source et l'adresse cible ne peuvent pas toutes deux être all-endpoint. L'un d'eux doit être identifié (liste d'attributs d'adresse).

Le trafic entre les adresses peut être encore limité dans une stratégie en filtrant sur ip-address et un ou plusieurs des attributs de filtre réseau autorisés : protocol, protocol.icmp.type, protocol.icmp.code et connection-state.

ip-address ou osn-services-ip-addresses peut être une cible ou une source. Cependant, vous ne pouvez pas utiliser ip-address et osn-services-ip-addresses sur les adresses source et cible. ip-address et osn-services-ip-addresses doivent être la source ou la cible. Exemples :

in applications.apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints

Les instructions de stratégie ZPR utilisent la syntaxe et les règles suivantes lorsque les réseaux cloud virtuels source et cible résident dans la même région et la même location, et que les deux réseaux cloud virtuels utilisent des attributs de sécurité :

<command> <source endpoints> in <source location> to <verb> <destination endpoints> in <destination location>

• <command> doit être allow.
• <source endpoint> doit être security attribute.
  Remarque
  
  Pour faire référence à une adresse par adresse IP ou plage CIDR, utilisez la syntaxe de stratégie pour un seul VCN.
• <source location> est requis et doit être au format in <security attribute> VCN.. <security attribute> doit être indiqué. Il ne peut s'agir que d'un seul attribut de sécurité.
• <verb> doit être to connect to.
• <destination endpoint> doit être security attribute.
• <destination location> est requis et doit être au format in <security attribute> VCN.. <security attribute> doit être indiqué. Il ne peut s'agir que d'un seul attribut de sécurité.

Par exemple, l'instruction de stratégie suivante exprime l'intention d'autoriser le trafic à partir ou vers des adresses dans deux réseaux cloud virtuels de la même région :

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

Les réseaux cloud virtuels sont identifiés par leurs attributs de sécurité et sont soumis aux stratégies qui les référencent. L'instruction allow s'applique à chaque VCN avec ces attributs de sécurité. Les clauses endpoint identifient la source ou la cible du trafic avec l'attribut de sécurité spécifié au sein d'un VCN :

Le trafic vers et depuis les adresses peut être encore limité dans la stratégie en filtrant avec un ou plusieurs des attributs de filtre réseau autorisés : protocol, protocol.icmp.type, protocol.icmp.code et connection-state.

Pour autoriser le trafic vers ou depuis une source ou une destination sans attribut de sécurité défini (par exemple, un autre VCN, une autre région, un réseau sur site ou Internet), spécifiez l'adresse IP ou le bloc CIDR dans une stratégie ZPR à l'aide de la syntaxe de stratégie VCN unique.

Par exemple, l'instruction de stratégie suivante exprime l'intention d'autoriser le trafic depuis ou vers les adresses à l'adresse IP indiquée, quel que soit l'emplacement de la ressource ou si des attributs de sécurité lui sont appliqués :

in front-end:network VCN allow loadbalancer:web to connect to '0.0.0.0/0'