プライベート・エンドポイントへのセキュリティ属性の追加
Zero Trust Packet Routingを使用して、オブジェクト・ストレージのプライベート・エンドポイントへのアクセスを管理します。
Zero Trust Packet Routing (ZPR)をネットワーク・セキュリティ・グループとともに、またはネットワーク・セキュリティ・グループのかわりに使用して、OCIリソースへのネットワーク・アクセスを管理できます。これを行うには、リソースが相互に通信する方法を制御するZPRポリシーを定義し、それらのリソースにセキュリティ属性を追加します。詳細は、Zero Trust Packet Routingを参照してください。
前提条件
- セキュリティ属性ネームスペースおよびセキュリティ属性を作成し、リソースのセキュリティ属性を適用、更新または削除するために必要な権限を付与します。
セキュリティ属性およびZero Trust Packet Routing IAMポリシーを参照してください。
- また、セキュリティ属性を使用してリソースを接続するには、ZPRポリシーを記述する必要があります。
注意
エンドポイントにZero Trust Packet Routing (ZPR)セキュリティ属性がある場合、エンドポイントへのトラフィックはZPRポリシーとすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、すでにNSGを使用していて、エンドポイントにセキュリティ属性を追加した場合、エンドポイントへのすべてのトラフィックがブロックされます。それ以降、ZPRポリシーでエンドポイントへのトラフィックを明示的に許可する必要があります。
エンドポイントにZero Trust Packet Routing (ZPR)セキュリティ属性がある場合、エンドポイントへのトラフィックはZPRポリシーとすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、すでにNSGを使用していて、エンドポイントにセキュリティ属性を追加した場合、エンドポイントへのすべてのトラフィックがブロックされます。それ以降、ZPRポリシーでエンドポイントへのトラフィックを明示的に許可する必要があります。
次のoci os private-endpoint createコマンドとパラメータを使用して、プライベート・エンドポイントの作成時にセキュリティ属性を追加します:
oci os private-endpoint create --name name --compartment-id compartment_ocid --subnet-id subnet_ocid --prefix prefix --access-targets access_targets [. . .] --security-attributes securityattributes [OPTIONS]次のoci os private-endpoint updateコマンドとパラメータを使用して、既存のプライベート・エンドポイントにセキュリティ属性を追加します:
oci os private-endpoint update --pe-name private_endpoint_name --name private_endpoint_name --access-targets access_targets [. . .] --security-attributes securityattributes [OPTIONS]CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
プライベート・エンドポイントの作成時にCreatePrivateEndpoint操作を実行してセキュリティ属性を追加し、securityAttributes属性を使用します。
UpdatePrivateEndpoint操作を実行して、プライベート・エンドポイントの更新時にセキュリティ属性を追加し、securityAttributes属性を使用します。