マウント・ターゲットへのセキュリティ属性の追加
Zero Trust Packet Routingをマウント・ターゲットとともに使用します。
注意
エンドポイントにZero Trust Packet Routing (ZPR)セキュリティ属性がある場合、エンドポイントへのトラフィックはZPRポリシー、およびすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、NSGをすでに使用していて、セキュリティ属性をエンドポイントに追加した場合、エンドポイントへのすべてのトラフィックがブロックされます。その後、ZPRポリシーはエンドポイントへのトラフィックを明示的に許可する必要があります。
エンドポイントにZero Trust Packet Routing (ZPR)セキュリティ属性がある場合、エンドポイントへのトラフィックはZPRポリシー、およびすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、NSGをすでに使用していて、セキュリティ属性をエンドポイントに追加した場合、エンドポイントへのすべてのトラフィックがブロックされます。その後、ZPRポリシーはエンドポイントへのトラフィックを明示的に許可する必要があります。
必要なIAMポリシー
ファイル・ストレージ・マウント・ターゲットでZPRを使用するには、ZPRに必要なセキュリティ属性ネームスペースを検査して使用する権限をファイル・ストレージ・サービスに付与するIAMポリシーを作成します。
たとえば、次のポリシーを使用できます。
Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications' ファイル・ストレージ・サービス・ユーザーの名前は、レルムによって異なります。レルム・キー番号が10以下のレルムの場合、ファイル・ストレージ・サービス・ユーザーのパターンはFssOc<n>Prodで、nはレルム・キー番号です。レルム・キー番号が10より大きいレルムには、fssocprodのサービス・ユーザーがあります。レルムの詳細は、「リージョンおよび可用性ドメインについて」を参照してください。
fs mount-target updateコマンドおよび必須パラメータを使用して、マウント・ターゲットにセキュリティ・アソシエーションを追加します:oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributesCLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
UpdateMountTarget操作を実行して、マウント・ターゲットにセキュリティ・アソシエーションを追加します。
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。