Documentação do Oracle Cloud Infrastructure

Adicionando Atributos de Segurança a um Ponto de Acesso NFS

Use o Zero Trust Packet Routing com um ponto de acesso NFS.

Você pode usar o ZPR (Zero Trust Packet Routing) com ou no lugar de grupos de segurança de rede para gerenciar o acesso à rede para recursos do OCI. Para fazer isso, defina políticas de ZPR que controlam como os recursos se comunicam entre si e, em seguida, adicione atributos de segurança a esses recursos. Para obter mais informações, consulte Roteamento de Pacotes de Confiança Zero.
Cuidado

Se um ponto final tiver um atributo de segurança ZPR (Zero Trust Packet Routing), o tráfego para o ponto final deverá atender às políticas de ZPR e também a todas as regras de NSG e lista de segurança. Por exemplo, se você já estiver usando NSGs e adicionar um atributo de segurança a um ponto final, todo o tráfego para o ponto final será bloqueado. A partir daí, uma política de ZPR deve permitir explicitamente o tráfego para o ponto final.

Política Obrigatória do Serviço IAM

Para usar o ZPR com pontos de acesso NFS do serviço File Storage, crie uma política do serviço IAM que conceda ao serviço File Storage permissão para inspecionar e usar o namespace do atributo de segurança exigido pelo ZPR.

Por exemplo, você pode usar a seguinte política:

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

O nome do usuário de serviço do File Storage depende de seu realm. Para realms com números de chave do realm de 10 ou menos, o padrão do usuário do serviço File Storage é FssOc<n>Prod, em que n é o número da chave do realm. Os realms com um número de chave de realm maior que 10 têm um usuário do serviço fssocprod. Para obter mais informações sobre Realms, consulte Sobre Regiões e Domínios de Disponibilidade.

    1. Na página de lista pontos de acesso NFS do serviço File Storage, selecione o ponto de acesso NFS do serviço File Storage com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista ou o ponto de acesso NFS do serviço File Storage, consulte Listando Pontos de Acesso NFS.
    2. Na página de detalhes, selecione a guia Segurança e, em seguida, Adicionar atributo de segurança.
    3. No painel Adicionar atributo de segurança, especifique as seguintes informações:
      • Namespace de atributo de segurança: Um namespace de atributo de segurança é um contêiner para um conjunto de atributos de segurança no ZPR (Zero Trust Packet Routing).
      • Chave do atributo de segurança: O nome de um atributo de segurança específico.
      • Valor do atributo de segurança: O valor de um atributo de segurança específico.

      Esses valores devem corresponder a uma política ZPR existente. Para obter mais informações sobre atributos de segurança e namespaces de atributo de segurança, consulte Roteamento de Pacote de Confiança Zero.

    4. Quando terminar, selecione Adicionar atributos de segurança.

  • Use o comando fs mount-target update e os parâmetros necessários para adicionar associações de segurança a um ponto de acesso NFS:

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Para ver uma lista completa de parâmetros e valores para comandos CLI, consulte a Referência de Comando CLI.

  • Execute a operação UpdateMountTarget para adicionar associações de segurança a um ponto de acesso NFS.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.