Criteri IAM instradamento pacchetto Zero Trust

Utilizza il servizio Oracle Cloud Infrastructure Identity and Access Management (IAM) per creare criteri per controllare l'accesso al servizio ZPR (Zero Trust Packet Routing).

Per informazioni sui criteri IAM per il networking e la computazione, vedere Dettagli per i servizi di base.

Tipi di risorsa singoli

zpr-policy

zpr-security-attribute

Variabili supportate

Zero Trust Packet Routing supporta tutte le variabili generali, oltre a quelle elencate qui. Per ulteriori informazioni sulle variabili generali supportate dai servizi Oracle Cloud Infrastructure, vedere Dettagli per le combinazioni Verbi + Tipo di risorsa.


Variabile	Tipo di variabile	commenti
`target.security-attribute-namespace.name`	Stringa	Utilizzare questa variabile per controllare se consentire operazioni su uno spazio di nomi di attributi di sicurezza specifico in risposta a una richiesta di lettura, aggiornamento, eliminazione o spostamento di uno spazio di nomi di attributi di sicurezza oppure per visualizzare le informazioni correlate alle richieste di lavoro per uno spazio di nomi di attributi di sicurezza.
`target.security-attribute-namespace.id`	Entità	Questa variabile è supportata solo nelle istruzioni che concedono le autorizzazioni per il tipo di risorsa security-attribute-namespaces.

Dettagli per combinazioni Verbi + Tipo risorsa

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage.

Un segno più (+) in una cella di tabella indica un accesso incrementale rispetto alla cella precedente, mentre no extra non indica alcun accesso incrementale.

Ad esempio, il verbo read per il tipo di risorsa zpr-policy include le stesse autorizzazioni e le stesse operazioni API del verbo inspect, ma aggiunge anche l'operazione API GetZprPolicy. Analogamente, il verbo manage per il tipo di risorsa zpr-policy consente ancora più autorizzazioni rispetto all'autorizzazione use. Per il tipo di risorsa zpr-policy, il verbo manage include le stesse autorizzazioni e le stesse operazioni API del verbo use, oltre alle autorizzazioni ZPR_POLICY_CREATE e ZPR_POLICY_DELETE e alle operazioni API applicabili (CreateZprPolicy e DeleteZprPolicy).

criterio zpr


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	ZPR_POLICY_INSPECT	`ListZprPolicies` `ListZprPolicyWorkRequests`	nessuno
letto	ISPEZIONA + ZPR_POLICY_READ	ISPEZIONA + `GetZprPolicy` `GetZprPolicyWorkRequest` `ListZprPolicyWorkRequestErrors` `ListZprPolicyWorkRequestLogs`	nessuno
utilizzare	LETTURA + ZPR_POLICY_UPDATE	`UpdateZprPolicy`	nessuno
gestisci	USE + ZPR_POLICY_CREATE ZPR_POLICY_DELETE	USE + `CreateZprPolicy` `DeleteZprPolicy`	nessuno

configurazione zpr


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare			nessuno
letto	ISPEZIONA + ZPR_CONFIGURATION_READ	ISPEZIONA + `GetConfiguration` `GetZprConfigurationWorkRequest` `ListZprConfigurationWorkRequests` `ListZprConfigurationWorkRequestErrors` `ListZprConfigurationWorkRequestLogs`	nessuno
utilizzare	LETTURA + ZPR_CONFIGURATION_UPDATE	`UpdateConfiguration`	nessuno
gestisci	USE + ZPR_CONFIGURATION_CREATE ZPR_CONFIGURATION_DELETE	USE + `CreateConfiguration` `DeleteConfiguration`	nessuno

security-attribute-namespace


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
ispezionare	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT	`ReadSecurityAttributeNamespace` `ReadSecurityAttribute` `SecurityAttributeWorkRequest`	nessuno
letto	ISPEZIONA + SECURITY_ATTRIBUTE_NAMESPACE_READ	ISPEZIONA + `ReadSecurityAttributeNamespace` `ReadSecurityAttribute`	nessuno
utilizzare	LETTURA + SECURITY_ATTRIBUTE_NAMESPACE_USE		nessuno
gestisci	USE + SECURITY_ATTRIBUTE_NAMESPACE_CREATE SECURITY_ATTRIBUTE_NAMESPACE_DELETE SECURITY_ATTRIBUTE_NAMESPACE_MOVE SECURITY_ATTRIBUTE_NAMESPACE_UPDATE ZPR_CONFIGURATION_DELETE	USE + `CreateSecurityAttributeNamespace` `DeleteSecurityAttributeNamespace` `CascadeDeleteSecurityAttributeNamespace` `DeleteSecurityAttribute` `ChangeCompartment` per `SecurityAttributeNamespace` `UpdateSecurityAttributeNamespace` `CreateSecurityAttribute` `UpdateSecurityAttribute`	nessuno

Autorizzazioni necessarie per ogni operazione API

Nelle sezioni seguenti sono elencate le operazioni API Zero Trust Packet Routing e Security Attribute API.

Operazioni API instradamento pacchetto Zero Trust

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListZprPolicies` `ListZprPolicyWorkRequests`	ZPR_POLICY_INSPECT
`CreateZprPolicy`	ZPR_POLICY_CREATE
`GetZprPolicy`	ZPR_POLICY_READ
`GetZprPolicyWorkRequest`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestErrors`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestLogs`	ZPR_POLICY_READ
`UpdateZprPolicy`	ZPR_POLICY_UPDATE
`DeleteZprPolicy`	ZPR_POLICY_DELETE
`CreateConfiguration`	ZPR_CONFIGURATION_CREATE
`GetConfiguration`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequests`	ZPR_CONFIGURATION_READ
`GetZprConfigurationWorkRequest`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestErrors`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestLogs`	ZPR_CONFIGURATION_READ
`UpdateConfiguration`	ZPR_CONFIGURATION_UPDATE
`DeleteConfiguration`	ZPR_CONFIGURATION_DELETE

Operazioni API attributo sicurezza

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`CreateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_CREATE
`DeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`CascadeDeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`DeleteSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`SecurityAttributeWorkRequest`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ChangeSecurityAttributeNamespaceCompartment`	SECURITY_ATTRIBUTE_NAMESPACE_MOVE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`UpdateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`CreateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_USE

Esempi di criteri

Utilizzare gli esempi riportati di seguito per informazioni sui criteri IAM Zero Trust Packet Routing.

Per utilizzare il servizio ZPR (Zero Trust Packet Routing), gli utenti richiedono le seguenti autorizzazioni per altre risorse Oracle Cloud Infrastructure:

Leggi istanze di computazione
Leggi risorse del database
Ispeziona le richieste di lavoro

Per ulteriori informazioni, vedere Dettagli per i servizi di base, tra cui Networking and Compute.

Esempi di criteri IAM ZPR

Consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutti i criteri ZPR nell'intera tenancy:

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

Consentire agli utenti del gruppo SecurityAuditors di visualizzare tutte le risorse ZPR nella tenancy:

Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

Consentire al gruppo app-admin di gestire solo lo spazio di nomi degli attributi di sicurezza applications e al gruppo database-admin di gestire solo lo spazio di nomi degli attributi di sicurezza database.

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'

and

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'