Oracle Cloud Infrastructureドキュメント

Zero Trust Packet Routingポリシーの管理

Zero Trust Packet Routing (ZPR)ポリシーを作成および管理します。

ZPRポリシーは、セキュリティ属性で識別される特定のエンドポイント間の通信を制御するルールです。ZPRポリシーは、テナンシのルート・コンパートメントにのみ作成できます。ZPRポリシーを作成するには、いくつかのオプションがあります。

  • シンプルなポリシー・ビルダーでは、セキュリティ属性で識別されるリソースの事前移入されたリストから選択して、2つのエンドポイント間のセキュリティ・インテントを表現できます。ポリシー・ビルダーは、正しい構文を使用してポリシー・ステートメントを自動的に生成します。
  • ポリシー・テンプレート・ビルダー では、ZPRポリシーを作成するためにカスタマイズできる事前入力されたZPRポリシー・ステートメントを提供する一般的なユース・ケース・シナリオに基づいて、テンプレートのリストから選択できます。
  • 手動ポリシー・ビルダーでは、自由形式のポリシーを入力できます。
次の操作を使用して、ZPRポリシーを管理します:

コンソールでのZPRポリシーの変更の適用には最大5分かかる場合があります。

ポリシー・テンプレート・ビルダー

ポリシー・テンプレート・ビルダーに含まれるポリシー・テンプレートは、一般的なユースケースに必要なサンプル構文を提供します。

ポリシー・テンプレート・ビルダーのポリシーは、次の項で構成されています。

コンピュート
使用例 ポリシー ノート
コンピュート・インスタンスですべてのポートおよびプロトコルで、同じVCN内の別のコンピュート・インスタンスに接続できるようにします。 <security attribute of VCN> VCNで、<security attribute of source-compute>エンドポイントが<security attribute of target-compute>エンドポイントに接続できるようにします ありません。
コンピュート・インスタンスが同じVCN内の別のコンピュート・インスタンスにSSH経由で接続できるようにします。 <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/22'を使用して<security attribute of target-compute>エンドポイントに接続できます ありません。
コンピュート・インスタンスが同じVCN内のデータベース・サービスに接続できるようにします。 <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます ありません。
コンピュート・インスタンスが同じリージョン内のVCNs間で別のコンピュート・インスタンスに接続できるようにします。 <security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが<security attribute of target VCN> VCNの<security attribute of target-compute>エンドポイントに接続できるようにします ZPRセキュリティ属性を使用しない様々なリージョンまたはVCNsでは、次のポリシーを使用します:

<security attribute of source VCN> VCNでは、<security attribute of source-compute>エンドポイントを<target VCN CIDR>に接続できます

Oracle Exadata Database Service on Dedicated Infrastructure
使用例 ポリシー ノート
SSHアクセス、データベース・クライアント・アクセス、Object Storage Access、Vault、Data Safeおよびその他のOCIサービス・アクセス、Real Application Clusters (RAC)およびData Guardのデータベース・サービスを有効化する

<security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが'osn-services-ip-addresses'に接続できるようにします

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが<security attribute of database service>エンドポイントに接続できるようにします

このポリシーにより、コンピュート・インスタンスはクライアント・アクセスのためにTCPポート1521のデータベース・サービスに接続できます。

このポリシーにより、データベース・サービスはOSNサービスに接続できます。

このポリシーは、データベース・サービス・エンドポイント間の通信を有効にします。

Data GuardクロスVCNまたはリージョン

<security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが、<security attribute of standby VCN> VCNのprotocol='tcp/1521'を使用して<security attribute of standby database service> エンドポイントに接続できるようにします

 このポリシーにより、同じリージョン内のData GuardスタンバイVCNへのコンピュート間通信が許可されます。
Data GuardクロスVCNまたはリージョン

<security attribute of VCN> VCNで、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<Standby VCN CIDR> に接続できるようにします

このポリシーにより、別のリージョン内のData GuardスタンバイVCNまたはセキュリティ属性が適用されていないVCNへのCompute-to-database通信が可能になります。
Data GuardクロスVCNまたはリージョン

<security attribute of Standby VCN> VCNで、<security attribute of database service>エンドポイントが'osn-services-ip-addresses'に接続できるようにします

このポリシーにより、Data GuardスタンバイはOSNサービスに接続できます。
Data GuardクロスVCNまたはリージョン

<security attribute of source VCN> VCNの<security attribute of database service>エンドポイントが<security attribute of Standby VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

<security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが<security attribute of Standby VCN> VCNの<security attribute of standby database service>エンドポイントに接続できるようにします

 このポリシーにより、同じリージョン内のData Guardプライマリ・データベースとスタンバイ・データベース間の通信、および同じリージョン内のスタンバイVCNへのCompute-to-database通信が可能になります。

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが<Standby VCN CIDR>に接続できるようにします

<security attribute of Standby VCN> VCNで、<VCN CIDR><security attribute of database service>エンドポイントに接続できるようにします

 This policy allows communication between the Data Guard Primary and Standby databases, even if they're located in different regions or VCNs, or to a VCN that doesn't have security attributes applied to it.
Data GuardクロスVCNまたはリージョン

<security attribute of standby VCN> VCNの<security attribute of standby database service>エンドポイントが<security attribute of source VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

 このポリシーにより、同じリージョン内のData Guardスタンバイからプライマリへの通信が許可されます。

<security attribute of VCN> VCNで、<Standby VCN CIDR><security attribute of database service>エンドポイントに接続できるようにします

<security attribute of Standby VCN> VCNで、<security attribute of database service>エンドポイントが<VCN CIDR>に接続できるようにします

このポリシーにより、Data Guardスタンバイからプライマリへの様々なリージョンでの通信、またはセキュリティ属性が適用されていないVCNへの通信が可能になります。
Oracle Base Database Service
使用例 ポリシー ノート
すべてのシナリオ(バックアップおよびData Guardを含む)のデータベース・サービスを有効にします。

<security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが'osn-services-ip-addresses'に接続できるようにします

VM-Clusterプロビジョニング、バックアップ/リストア、KMS、パッチ適用、DPイベント、Oracle RAC

Data GuardプライマリおよびスタンバイのOracle Base Database Serviceリソースにデータベース・サービスのセキュリティ属性を適用します。
RACサポート

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが<security attribute of database service>エンドポイントに接続できるようにします

ありません。
Data GuardクロスVCNまたはリージョン

<security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが、<security attribute of Standby VCN> VCNのprotocol='tcp/1521'を使用して<security attribute of standby database service>エンドポイントに接続できるようにします

 このポリシーにより、コンピュート・クライアントは、同じリージョン内のData GuardスタンバイVCNに接続できます。

<security attribute of VCN> VCNで、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<Standby VCN CIDR>に接続できるようにします

このポリシーにより、コンピュート・クライアントは、異なるリージョン内のData GuardスタンバイVCN、またはセキュリティ属性が適用されていないVCNに接続できます。
Data GuardクロスVCNまたはリージョン

<security attribute of Standby VCN> VCNで、<security attribute of database service>エンドポイントが'osn-services-ip-addresses'に接続できるようにします

このポリシーにより、Data GuardスタンバイはOSNサービスに接続できます。
Data GuardクロスVCNまたはリージョン

<security attribute of source VCN> VCNの<security attribute of database service>エンドポイントが<security attribute of Standby VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

<security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが<security attribute of Standby VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

 このポリシーにより、Data Guardプライマリは、同じリージョン内の各VCNで、エグレスとイングレスの両方でData Guardスタンバイに接続できます。

<security attribute of VCN> VCNで、<security attribute of database service>エンドポイントが<Standby VCN CIDR>に接続できるようにします

<security attribute of Standby VCN> VCNで、<VCN CIDR><security attribute of database service>エンドポイントに接続できるようにします

 このポリシーにより、Data Guardプライマリは、エグレスとイングレスの両方、異なるリージョン内の各VCN、またはセキュリティ属性が適用されていないVCNを使用して、CIDRを使用してData Guardスタンバイに接続できます。
Data GuardクロスVCNまたはリージョン

<security attribute of Standby VCN> VCNの<security attribute of database service>エンドポイントが<security attribute of source VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

<security attribute of Standby VCN> VCNの<security attribute of database service>エンドポイントが<security attribute of source VCN> VCNの<security attribute of database service>エンドポイントに接続できるようにします

 このポリシーにより、Data Guardスタンバイは、同じリージョン内の各VCNのData Guardプライマリに接続できます。

<security attribute of VCN> VCNで、<Standby VCN CIDR><security attribute of database service>エンドポイントに接続できるようにします

<security attribute of Standby VCN> VCNで、<security attribute of database service>エンドポイントが<VCN CIDR>に接続できるようにします

このポリシーにより、Data Guardスタンバイは、異なるリージョンのVCNsのData Guardプライマリ、またはセキュリティ属性が適用されていないVCNに接続できます。
自律型AIデータベース
使用例 ポリシー ノート
自律型AIデータベースへのコンピュート接続を許可します。 <security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが、<security attribute of target VCN> VCNのprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できるようにします 同じリージョン内のVCNs間でコンピュートからデータベースへの通信を許可します。
<security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます Allow Compute-to-database communication across VCNs in different regions, or to a VCN that doesn't have security attributes applied to it.
Autonomous Dedicated Infrastructure
使用例 ポリシー ノート
すべてのシナリオ(バックアップおよびData Guardを含む)のデータベース・サービスを有効にします。 <security attribute of source VCN> VCNの<security attribute of source-compute>エンドポイントが、<security attribute of target VCN> VCNのprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できるようにします 同じリージョン内のVCNs間でコンピュートからデータベースへの通信を許可します。
<security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます Allow Compute-to-database communication across VCNs in different regions, or to a VCN that doesn't have security attributes applied to it.