Criteri IAM firewall di rete
Crea criteri di sicurezza in Oracle Cloud Infrastructure Identity and Access Management (IAM).
Per impostazione predefinita, solo gli utenti del gruppo Administrators possono accedere a tutte le risorse e funzioni del servizio Firewall di rete. Per controllare l'accesso degli utenti non amministratori alle risorse e alle funzioni del firewall di rete, creare i gruppi IAM e quindi scrivere i criteri per concedere l'accesso ai gruppi di utenti.
Per un elenco completo dei criteri di Oracle Cloud Infrastructure, consulta il riferimento ai criteri.
Resource-Types
Network Firewall offre tipi di risorse sia aggregati che individuali per la scrittura dei criteri.
È possibile utilizzare i tipi di risorsa aggregati per scrivere un numero inferiore di criteri. Ad esempio, anziché consentire a un gruppo di gestire network-firewall e network-firewall-policy, è possibile scrivere un criterio che consenta al gruppo di gestire il tipo di risorsa aggregata, network-firewall-family.
| Tipo di risorsa aggregato | Singola risorsa - Tipi |
|---|---|
network-firewall-family |
|
Le API coperte per il tipo di risorsa network-firewall-family aggregato coprono le API per work-requests.
Variabili supportate
Leggi quali variabili sono supportate da Oracle Cloud Infrastructure Network Firewall.
Il firewall di rete supporta tutte le variabili generali. Vedere Variabili generali per tutte le richieste.
Dettagli per le combinazioni verbi-tipo di risorsa
Esistono vari verbi e tipi di risorse di Oracle Cloud Infrastructure che è possibile utilizzare per creare un criterio.
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per Network Firewall. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
nessuno |
| letto |
ISPEZIONA+ NETWORK_FIREWALL_READ |
ISPEZIONA+GetNetworkFirewall |
nessuno |
| utilizzare |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (ha inoltre bisogno di use network-firewall-policy per modificare il criterio firewall e di use network-security-groups per modificare i gruppi NSG associati. |
| gestisci |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
è inoltre necessario leggere Se al firewall sono associati gruppi di sicurezza di rete (NSG), è necessario anche DeleteNetworkFirewall necessita anche di Se al firewall sono associati gruppi di sicurezza di rete (NSG), è necessario anche Le operazioni di rete di cui sopra sono totalmente coperte con solo |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
nessuno |
| letto |
ISPEZIONA+ NETWORK_FIREWALL_POLICY_READ |
ISPEZIONA+GetNetworkFirewallPolicy |
nessuno |
| utilizzare |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (ha bisogno anche di use network-firewall per modificare il firewall a cui è associato). |
| gestisci |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
La tabella riportata di seguito elenca le operazioni API per Oracle Cloud Infrastructure Network Firewall in un ordine logico, raggruppate per tipo di risorsa.
In questa tabella sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa e le autorizzazioni necessarie per network-firewall e network-firewall-policy:
| Operazione API | Autorizzazioni |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (per collegare i criteri al firewall) Autorizzazioni necessarie per utilizzare NAT nel firewall PRIVATE_IP_READ (compartimento subnet) + PRIVATE_IP_CREATE (compartimento subnet) + PRIVATE_IP_ASSIGN (compartimento subnet) + VNIC_ASSIGN (compartimento subnet) + PRIVATE_IP_DELETE (compartimento subnet) + PRIVATE_IP_UNASSIGN (compartimento subnet) + VNIC_UNASSIGN Subnet (compartimento subnet) + SUBNET_DETACH (compartimento subnet) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (per aggiornare l'associazione dei criteri) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (per aggiornare i gruppi NSG associati) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (per aggiornare le associazioni NSG) Autorizzazioni necessarie per utilizzare NAT nel firewall PRIVATE_IP_READ (compartimento subnet) + PRIVATE_IP_CREATE (compartimento subnet) + PRIVATE_IP_ASSIGN (compartimento subnet) + VNIC_ASSIGN (compartimento subnet) + SUBNET_ATTACH (compartimento subnet) + VNIC_ASSIGN (compartimento subnet) + PRIVATE_IP_DELETE (compartimento subnet) + PRIVATE_IP_UNASSIGN (compartimento subnet) + SUBNET_DETACH (compartimento subnet) + VNIC_UNASSIGN Subnet (compartimento subnet) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartimento vnic) + VNIC_ATTACHMENT_READ (compartimento vnic) + SUBNET_DETACH (compartimento subnet) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (per aggiornare i gruppi NSG associati) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (per aggiornare le associazioni NSG) Autorizzazioni necessarie per utilizzare NAT nel firewall PRIVATE_IP_READ (compartimento subnet) + PRIVATE_IP_DELETE (compartimento subnet) + PRIVATE_IP_UNASSIGN (compartimento subnet) + VNIC_UNASSIGN Subnet (compartimento subnet) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Crea criteri IAM per il servizio Network Firewall
Scopri come creare i criteri IAM (Identity and Access Management) per il servizio Network Firewall.
Per creare criteri per un gruppo di utenti, è necessario conoscere il nome del gruppo IAM.
Per creare un criterio, effettuare le operazioni riportate di seguito.
- Nel menu di navigazione della console andare a Identità e sicurezza, quindi in Identità selezionare Criteri.
- Selezionare Crea criterio.
- Immettere un Nome e una Descrizione (facoltativa) per il criterio.
- Selezionare il compartimento in cui creare il criterio.
- Selezionare Mostra editor manuale. Immettere quindi le istruzioni dei criteri necessarie.
- (Facoltativo) Selezionare Crea un altro criterio per rimanere nella pagina Crea criterio dopo aver creato questo criterio.
- Selezionare Crea.
Vedere anche funzionamento dei criteri, sintassi dei criteri e riferimento ai criteri.
Criterio IAM comune per il servizio firewall di rete
Utilizzare questo criterio IAM per creare e gestire le risorse del firewall di rete.
Consenti ai gruppi di utenti di creare, modificare ed eliminare firewall e criteri firewall
Tipo di accesso: possibilità di creare, modificare o eliminare un firewall o un criterio firewall. Le funzioni amministrative per i firewall o i criteri firewall includono la possibilità di crearli, aggiornarli ed eliminarli.
Dove creare il criterio: nella tenancy, in modo che la possibilità di creare, modificare o eliminare una risorsa firewall sia concessa a tutti i compartimenti mediante l'ereditarietà dei criteri. Per ridurre l'ambito ai firewall in un determinato compartimento, specificare tale compartimento anziché la tenancy.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>