Documentazione dell'infrastruttura Oracle Cloud

Attributi di sicurezza

Un attributo di sicurezza è un'etichetta a cui è possibile fare riferimento nel criterio ZPR (Zero Trust Packet Routing) per controllare l'accesso alle risorse supportate.

Quando si abilita ZPR, viene creato un attributo di sicurezza di esempio denominato sensitivity nello spazio di nomi degli attributi di sicurezza oracle-zpr. È possibile modificare o eliminare l'attributo di sicurezza sensitivity.

Autorizzazioni necessarie per l'utilizzo degli attributi di sicurezza

Per applicare, aggiornare o rimuovere un attributo di sicurezza per una risorsa, è necessario concedere a un utente le autorizzazioni per la risorsa e per utilizzare lo spazio di nomi degli attributi di sicurezza.

Agli utenti deve essere concesso l'accesso use nello spazio di nomi degli attributi di sicurezza per applicare, aggiornare o rimuovere un attributo di sicurezza per una risorsa. Ad esempio, per consentire a UserGroupA l'accesso allo spazio di nomi degli attributi di sicurezza public:

Allow UserGroupA to read security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

Per consentire l'accesso UserGroupA su tutti gli spazi di nomi degli attributi di sicurezza in una tenancy: 

Allow UserGroupA to read security-attribute-namespaces in tenancy

Oltre alle autorizzazioni per utilizzare lo spazio di nomi degli attributi di sicurezza, l'utente deve disporre anche dell'autorizzazione per aggiornare la risorsa in modo da applicare o rimuovere gli attributi di sicurezza. Per molte risorse, l'autorizzazione di aggiornamento viene concessa con il verbo use. Ad esempio, gli utenti che possono utilizzare le istanze in CompartmentA possono anche applicare, aggiornare o rimuovere gli attributi di sicurezza per le istanze in CompartmentA.

allow UserGroupA to use instance-family in tenancy

Alcune risorse non includono l'autorizzazione di aggiornamento con il verbo use. Per consentire a un gruppo di applicare, aggiornare o rimuovere gli attributi di sicurezza per queste risorse senza concedere le autorizzazioni complete di gestione, è possibile aggiungere un'istruzione criterio per concedere solo l'autorizzazione '<resource>_ update' dal verbo manage. Ad esempio, per consentire al gruppo NetworkUsers di utilizzare le reti VCN con attributi di sicurezza in CompartmentA, è possibile scrivere un criterio come il seguente:


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

L'autorizzazione inspect per una risorsa concede le autorizzazioni per visualizzare gli attributi di sicurezza per tale risorsa. Ad esempio, gli utenti che possono ispezionare le istanze possono visualizzare anche tutti gli attributi di sicurezza applicati all'istanza.

Per informazioni sulle autorizzazioni delle risorse, vedere Riferimento criteri. Per informazioni sui criteri IAM ZPR, vedere Criteri IAM di instradamento Zero Trust Packet.

Informazioni di base sugli attributi di sicurezza

È possibile applicare fino a tre attributi di sicurezza a ogni risorsa supportata. Per ulteriori informazioni sui limiti in Zero Trust Packet Routing (ZPR), vedere Limiti.

I nomi degli attributi di sicurezza hanno le stesse convenzioni di denominazione degli spazi dei nomi degli attributi di sicurezza. Gli unici caratteri validi per i nomi degli attributi di sicurezza sono i seguenti:

  • 0-9
  • A-Z
  • a-z
  • - (in trattino)
  • _ (carattere di sottolineatura)

I nomi degli attributi di sicurezza devono iniziare con una lettera a-z e devono essere univoci all'interno dello stesso spazio di nomi degli attributi di sicurezza. I nomi degli attributi di sicurezza non fanno distinzione tra maiuscole e minuscole. Ciò significa, ad esempio, che mySecurityAttribute e mysecurityattribute non sono consentiti nello stesso spazio di nomi. Se si specifica un nome già in uso nello spazio dei nomi degli attributi di sicurezza, viene visualizzato un errore.

Ogni attributo di sicurezza deve avere una descrizione. Le descrizioni non devono essere univoche e possono essere aggiornate in un secondo momento.

A ciascun attributo di sicurezza viene assegnato uno stato a seconda della posizione dell'attributo di sicurezza nel relativo ciclo di vita:

ATTIVA
Attributo di sicurezza attivo.
NON ATTIVO
L'attributo di sicurezza è stato disattivato.
ELIMINAZIONE
L'attributo di sicurezza è in fase di eliminazione.
DATA ELIMINAZIONE
Attributo di sicurezza eliminato.

Quando non è più necessario un attributo di sicurezza, è possibile eliminarlo. Per eliminare un attributo di sicurezza, è necessario prima ritirarlo. È possibile eliminare solo un attributo di sicurezza ritirato.

Per informazioni sulle operazioni che è possibile eseguire per gestire gli attributi di sicurezza, vedere Gestione degli attributi di sicurezza.

Valori attributi di sicurezza

Per organizzare ulteriormente le risorse, assegnare valori a un attributo di sicurezza.

Ad esempio, per organizzare le proprie risorse, un'azienda applica i seguenti attributi di sicurezza:

  • applicazioni
  • reti
  • database

Per suddividere ulteriormente le risorse in categorie, l'azienda imposta i tipi di valore riportati di seguito negli attributi di sicurezza.

  • applicazioni
    • hr-app
    • applicazione ciclo paghe
    • vantaggi-app
  • reti
    • rete anteriore
    • back-network
  • database
    • autonomous database
    • cloud-autonomo-vmclustersouth
    • cluster cloud-vm
    • db-system

ZPR fornisce le opzioni riportate di seguito per applicare i tipi di valore agli attributi di sicurezza.

Static
L'utente inserisce un valore.
Lista di valori
L'utente effettua la selezione da un elenco di valori forniti.

È possibile impostare i tipi di valore quando si creano o aggiornano un attributo di sicurezza oppure quando si gestiscono le risorse protette.