Políticas do Cloud Guard

Para controlar quem tem acesso ao Oracle Cloud Guard e o tipo de acesso de cada grupo de usuários, crie políticas.

Por padrão, somente os usuários do grupo Administrators têm acesso a todos os recursos do Cloud Guard. Para todos os outros envolvidos com o Cloud Guard, crie novas políticas que designem a eles os direitos adequados aos recursos do Cloud Guard.

Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte referência de política.

Tipos de Recurso

O Cloud Guard oferece tipos de recursos agregados e individuais para gravação de políticas.

Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie cloud-guard-detectors e cloud-guard-problems, você pode ter uma política que permita que o grupo gerencie o tipo de recurso agregado cloud-guard-family.


Tipo de Recurso Agregado	Tipos de Recurso Individual
`cloud-guard-family`	`cloud-guard-adhoc-query` `cloud-guard-condition-metadata-types` `cloud-guard-config` `cloud-guard-coverage` `cloud-guard-data-mask-rules` `cloud-guard-data-sources` `cloud-guard-detector-recipes` `cloud-guard-detector-rule-definitions` `cloud-guard-detectors` `cloud-guard-findings` `cloud-guard-managed-lists` `cloud-guard-metadata` `cloud-guard-meta-data-sync` `cloud-guard-problems` `cloud-guard-recommendations` `cloud-guard-resource-profile` `cloud-guard-resource-types` `cloud-guard-resource-view` `cloud-guard-responder-recipes` `cloud-guard-responder-rules` `cloud-guard-responder-executions` `cloud-guard-risk-scores` `cloud-guard-saved-query` `cloud-guard-schemas` `cloud-guard-security-scores` `cloud-guard-service-logging` `cloud-guard-signals` `cloud-guard-summary-event` `cloud-guard-target-detector-rules` `cloud-guard-targets` `cloud-guard-user-preferences` `security-policy` `security-recipe` `security-zone`

As APIs abrangidas para o tipo de recurso cloud-guard-family agregado incluem todas as APIs listadas em "Tipos de Recursos Individuais" na tabela anterior.

Por exemplo,

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

... é o mesmo que criar 20 políticas com este formato:

allow group cloudguard-admins to manage <resource_type> in compartment <x>

Observação

Se o grupo de administradores do Cloud Guard não estiver no domínio de identidades padrão, inclua o <identity_domain_name>, seguido por uma barra ("/"), antes do nome do grupo:

allow group <identity_domain_name>/cloudguard-admins to manage cloud-guard-family in compartment <x>

Detalhes das Combinações de Verbos e Tipo de Recurso

Tabelas de permissões e operações de API abrangidas por cada verbo do Cloud Guard.

O nível de acesso é cumulativo conforme você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental. Para obter mais informações sobre permissões no Oracle Cloud Infrastructure, consulte Permissões.

cloud-guard-adhoc-query

As APIs abrangidas para o tipo de recurso cloud-guard-adhoc-query são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_ADHOC_QUERY_INSPECT	`ListAdhocQueries`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_ADHOC_QUERY_READ	`GetAdhocQuery`
	`ListAdhocQueryResults`
	`GetAdhocQueryResultContent`
USAR
READ +	READ +	nenhum
CG_ADHOC_QUERY_CREATE	`CreateAdhocQuery`	nenhum
MANAGE	no extra	no extra

cloud-guard-condition-metadata-types

As APIs abrangidas para o tipo de recurso cloud-guard-condition-metadata-types são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_CONDITION_METADATA_TYPES_INSPECT	`ListCloudGuardConditionMetadataType`	nenhum
READ		no extra
INSPECT+	INSPECT+
CG_CONDITION_METADATA_TYPES_READ	`GetCloudGuardConditionMetadataType`
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-config

As APIs abrangidas para o tipo de recurso cloud-guard-config são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_CONFIG_INSPECT	`GetCloudGuard`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_CONFIG_READ	`GetCloudGuard`	nenhum
USAR
READ +	READ +	nenhum
CG_CONFIG_UPDATE	`UpdateCloudGuard`	nenhum
MANAGE	no extra	no extra

cloud-guard-coverage

As APIs abrangidas para o tipo de recurso cloud-guard-coverage são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_COVERAGE_INSPECT	`RequestSummarizedCoverage`	nenhum
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-data-mask-rules

As APIs abrangidas para o tipo de recurso cloud-guard-data-mask-rules são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_DATA_MASK_RULE_INSPECT	`ListDataMaskRules`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_DATA_MASK_RULE_READ	`GetDataMaskRule`	nenhum
USAR
READ +	READ +	nenhum
CG_DATA_MASK_RULE_UPDATE	`UpdateDataMaskRule`	nenhum
MANAGE		nenhum
USE +	USE +	nenhum
CG_DATA_MASK_RULE_CREATE	`CreateDataMaskRule`
CG_DATA_MASK_RULE_DELETE	`DeleteDataMaskRule`

cloud-guard-data-sources

As APIs abrangidas para o tipo de recurso cloud-guard-data-sources são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_DATA_SOURCE_INSPECT	`ListDataSources`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_DATA_SOURCE_READ	`GetDataSource`	nenhum
USAR
READ +	READ +	nenhum
CG_DATA_SOURCE_UPDATE	`UpdateDataSource`	nenhum
MANAGE		nenhum
USE +	USE +	nenhum
CG_DATA_SOURCE_CREATE	`CreateDataSource`
CG_DATA_SOURCE_DELETE	`DeleteDataSource`
CG_DATA_SOURCE_MOVE	`ChangeDataSourceCompartment`

cloud-guard-detectors

As APIs abrangidas para o tipo de recurso cloud-guard-detectors são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_DETECTOR_INSPECT	`ListCloudGuardDetectors`	nenhum
CG_DETECTOR_INSPECT	`ListCloudGuardDetectorRules`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_DETECTOR_READ	`GetCloudGuardDetector`
CG_DETECTOR_READ	`GetCloudGuardDetectorRule`
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-detector-recipes

As APIs abrangidas para o tipo de recurso cloud-guard-detector-recipes são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipe`	nenhum
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipeDetectorRules`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipeDetectorRule`
USAR
READ +	READ +	nenhum
CG_DETECTOR_RECIPE_UPDATE	`UpdateCloudGuardDetectorRecipe`
	`ChangeCloudGuardDetectorRecipeCompartment`
	`UpdateCloudGuardDetectorRecipeDetectorRule`
MANAGE
USE +	USE +	nenhum
CG_DETECTOR_RECIPE_CREATE	`CreateCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_DELETE	`DeleteCloudGuardDetectorRecipe`

cloud-guard-detector-rule-definitions

As APIs abrangidas para o tipo de recurso cloud-guard-detector-rule-definitions são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_DETECTOR_RULE_DEFINITION_INSPECT	`ListDetectorRuleDefinitions`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_DETECTOR_RULE_DEFINITION_READ	`GetDetectorRuleDefinition`	nenhum
USAR
READ +	READ +	nenhum
CG_DETECTOR_RULE_DEFINITION_UPDATE	`UpdateDetectorRuleDefinition`	nenhum
MANAGE
USE +	USE +	nenhum
CG_DETECTOR_RULE_DEFINITION_CREATE	`CreateDetectorRuleDefinition`
CG_DETECTOR_RULE_DEFINITION_DELETE	`DeleteDetectorRuleDefinition`

cloud-guard-findings

As APIs abrangidas para o tipo de recurso cloud-guard-findings são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
INSPECT	no extra	no extra
READ	no extra	no extra
USAR	no extra	no extra
MANAGE
CG_FINDING_CREATE	`CreateCloudGuardFinding`	nenhum

cloud-guard-managed-lists

As APIs abrangidas para o tipo de recurso cloud-guard-managed-lists são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedLists`	nenhum
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedListTypes`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_MANAGED_LIST_READ	`GetCloudGuardManagedList`	nenhum
USAR
READ +	READ +	nenhum
CG_MANAGED_LIST_UPDATE	`UpdateCloudGuardManagedList`	nenhum
MANAGE
USE +	USE +	nenhum
CG_MANAGED_LIST_CREATE	`CreateCloudGuardManagedList`
CG_MANAGED_LIST_DELETE	`DeleteCloudGuardManagedList`
CG_MANAGED_LIST_MOVE	`ChangeManagedListCompartment`

cloud-guard-metadata

As APIs abrangidas para o tipo de recurso cloud-guard-metadata são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_METADATA_INSPECT	`ListTactics`	nenhum
CG_METADATA_INSPECT	`ListTechniques`	nenhum
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-meta-data-sync

As APIs abrangidas para o tipo de recurso cloud-guard-meta-data-sync são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT	no extra	no extra
nenhum	nenhum	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_METADATASYNC_READ	`GetMetaDataSyncStatus`	nenhum
USAR
READ +	READ +	nenhum
CG_METADATASYNC_UPDATE	`UpdateResourceSync`	nenhum
MANAGE	no extra	no extra

cloud-guard-problems

As APIs abrangidas para o tipo de recurso cloud-guard-problems são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_PROBLEM_INSPECT	`ListCloudGuardProblems`	nenhum
	`ListCloudGuardProblemHistories`
	`ListCloudGuardResponderActivities`
	`RequestCloudGuardSummarizedActivityProblems`
READ
INSPECT +	INSPECT +	nenhum
CG_PROBLEM_READ	`GetCloudGuardProblem`
	`RequestCloudGuardSummarizedProblems`
	`RequestCloudGuardSummarizedTrendProblems`
	`ListCloudGuardImpactedResources`
USAR
READ +	READ +	nenhum
CG_PROBLEM_UPDATE	`UpdateCloudGuardBulkProblemStatus`
	`UpdateCloudGuardProblemStatus`
	`TriggerCloudGuardResponder`
MANAGE	no extra	no extra

cloud-guard-recommendations

As APIs abrangidas para o tipo de recurso cloud-guard-recommendations são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RECOMMENDATION_INSPECT	`ListCloudGuardRecommendations`	nenhum
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-resource-profile

As APIs abrangidas para o tipo de recurso cloud-guard-resource-profile são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RESOURCE_PROFILE_INSPECT	`ListResourceProfiles`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_RESOURCE_PROFILE_READ	`GetResourceProfile`
	`ListResourceProfileEndpoints`
	`ListResourceProfileImpactedResources`
	`RequestSummarizedTopTrendResourceRiskScores`
	`RequestSummarizedTrendResourceRiskScores`
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-resource-types

As APIs abrangidas para o tipo de recurso cloud-guard-cloud-guard-resource-types são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RESOURCE_TYPES_INSPECT	`ListCloudGuardResourceTypes`	nenhum
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-resource-view

As APIs abrangidas para o tipo de recurso cloud-guard-resource-view são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RESOURCE_VIEW_INSPECT	`ListResources`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_RESOURCE_VIEW_READ	`GetResource`	nenhum
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-responder-recipes

As APIs abrangidas para o tipo de recurso cloud-guard-cloud-guard-responder-recipes são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipe`	nenhum
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipeResponderRule`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipeResponderRule`
USAR
READ +	READ +	nenhum
CG_RESPONDER_RECIPE_UPDATE	`UpdateCloudGuardResponderRecipe`
	`ChangeCloudGuardResponderRecipeCompartment`
	`UpdateCloudGuardResponderRecipeResponderRule`
MANAGE
USE +	USE +	nenhum
CG_RESPONDER_RECIPE_CREATE	`CreateCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_DELETE	`DeleteCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_MOVE	`ChangeResponderRecipeCompartment`

cloud-guard-responder-executions

As APIs abrangidas para o tipo de recurso cloud-guard-responder-executions são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RESPONDER_EXECUTION_INSPECT	`ListCloudGuardResponderExecution`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_RESPONDER_EXECUTION_READ	`GetCloudGuardResponderExecution`
	`RequestCloudGuardSummarizedResponderExecutions`
	`RequestCloudGuardSummarizedTrendResponderExecutions`
USAR
READ +	READ +	nenhum
CG_RESPONDER_EXECUTION_UPDATE	`ExecuteCloudGuardResponderExecution`	nenhum
MANAGE	no extra	no extra

cloud-guard-risk-scores

As APIs abrangidas para o tipo de recurso cloud-guard-risk-scores são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_RISK_SCORES_INSPECT	`RequestCloudGuardSummarizedRiskScores`	nenhum
CG_RISK_SCORES_INSPECT	`RequestCloudGuardRiskScores`	nenhum
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-saved-query

As APIs abrangidas para o tipo de recurso cloud-guard-saved-query são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_SAVED_QUERY_INSPECT	`ListSavedQueries`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_SAVED_QUERY_READ	`GetSavedQuery`	nenhum
USAR
READ +	READ +	nenhum
CG_SAVED_QUERY_UPDATE	`UpdateSavedQuery`	nenhum
MANAGE
USE +	USE +	nenhum
CG_SAVED_QUERY_CREATE	`CreateSavedQuery`
CG_SAVED_QUERY_DELETE	`DeleteSavedQuery`
CG_SAVED_QUERY_MOVE	`ChangeWlpSavedQueryCompartment`

cloud-guard-schemas

As APIs abrangidas para o tipo de recurso cloud-guard-schemas são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_SCHEMA_INSPECT	`ListSchemas`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_SCHEMA_READ	`GetSchema`	nenhum
USAR
READ +	READ +	nenhum
CG_SCHEMA_UPDATE	`UpdateSchema`	nenhum
MANAGE
USE +	USE +	nenhum
CG_SCHEMA_CREATE	`CreateSchema`
CG_SCHEMA_DELETE	`DeleteSchema`

cloud-guard-security-scores

As APIs abrangidas para o tipo de recurso cloud-guard-security-scores são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_SECURITY_SCORES_INSPECT	`RequestCloudGuardSummarizedSecurityScores`	nenhum
	`RequestCloudGuardSummarizedTrendSecurityScores`
	`RequestCloudGuardSecurityScores`
	`RequestSecurityScoreSummarizedTrend`
READ	no extra	no extra
USAR	no extra	no extra
MANAGE	no extra	no extra

cloud-guard-service-logging

As APIs abrangidas para o tipo de recurso cloud-guard-service-logging são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
INSPECT	`ListCloudGuardProblems`	no extra
READ
INSPECT +	INSPECT +	nenhum
CG_SERVICE_LOGGING_READ	`GetServiceLogging`	nenhum
USAR
READ +	READ +	nenhum
CG_SERVICE_LOGGING_UPDATE	`UpdateServiceLogging`	nenhum
MANAGE
USE +	USE +	nenhum
CG_SERVICE_LOGGING_CREATE	`CreateServiceLogging`
CG_SERVICE_LOGGING_DELETE	`DeleteServiceLogging`

cloud-guard-signals

As APIs abrangidas para o tipo de recurso cloud-guard-signals são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT	no extra	no extra
READ	no extra	no extra
USAR	no extra	no extra
MANAGE
USE +	USE +	nenhum
CG_SIGNAL_CREATE	`CreateCloudGuardSignal`	nenhum

cloud-guard-summary-event

As APIs abrangidas para o tipo de recurso cloud-guard-summary-event são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT	no extra	no extra
READ	no extra	no extra
USAR	no extra	no extra
MANAGE
USE +	USE +	nenhum
CG_SUMMARY_EVENT_CREATE	`AddSummaryEvent`	nenhum

cloud-guard-targets

As APIs abrangidas para o tipo de recurso cloud-guard-targets são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_TARGET_INSPECT	`ListCloudGuardTargets`	nenhum
	`ListCloudGuardTargetDetectorRecipes`
	`ListCloudGuardTargetDetectorRecipeDetectorRules`
READ
INSPECT +	INSPECT +	nenhum
CG_TARGET_READ	`GetCloudGuardTarget`
	`ListCloudGuardTargetResponderRecipes`
	`GetCloudGuardTargetResponderRecipe`
	`ListCloudGuardTargetResponderRecipeResponderRules`
	`GetCloudGuardTargetResponderRecipeResponderRule`
	`GetCloudGuardTargetDetectorRecipe`
	`GetCloudGuardTargetDetectorRecipeDetectorRule`
USAR
READ +	READ +	nenhum
CG_TARGET_UPDATE	`UpdateCloudGuardTarget`
	`UpdateCloudGuardTargetDetectorRule`
	`CreateCloudGuardTargetResponderRecipe`
	`ChangeCloudGuardTargetResponderRecipeCompartment`
	`UpdateCloudGuardTargetResponderRecipe`
	`UpdateCloudGuardTargetResponderRecipeResponderRule`
	`CreateCloudGuardTargetDetectorRecipe`
	`ChangeCloudGuardTargetDetectorRecipeCompartment`
	`UpdateCloudGuardTargetDetectorRecipe`
MANAGE
USE +	USE +	nenhum
CG_TARGET_CREATE	`CreateCloudGuardTarget`
CG_TARGET_DELETE	`DeleteCloudGuardTarget`
	`DeleteCloudGuardTargetResponderRecipe`
	`DeleteCloudGuardTargetDetectorRecipe`

cloud-guard-user-preferences

As APIs abrangidas para o tipo de recurso cloud-guard-user-preferences são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_USER_PREFERENCE_INSPECT	`GetCloudGuardUserPreference`	nenhum
READ	no extra	no extra
USAR
READ +	READ +	nenhum
USE +	USE +	nenhum
CG_USER_PREFERENCE_UPDATE	`ReplaceCloudGuardUserPreference`	nenhum
MANAGE	no extra	no extra

cloud-guard-work-requests

As APIs abrangidas para o tipo de recurso cloud-guard-work-requests são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
INSPECT
CG_WORK_REQUEST_INSPECT	`LListWorkRequests`	nenhum
READ
INSPECT +	INSPECT +	nenhum
CG_WORK_REQUEST_READ	`GetWorkRequest`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
USAR	no extra	no extra
MANAGE
USE +	USE +	nenhum
CG_WORK_REQUEST_DELETE	`CancelWorkRequest`	nenhum

política de segurança


Operação de API	Permissões Exigidas para Usar a Operação
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe

As APIs abrangidas para o tipo de recurso security-recipe são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Verbo	Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
`inspect`	`SECURITY_RECIPE_INSPECT`	`ListSecurityRecipes`	nenhum
`read`	`inspect+` `SECURITY_RECIPE_READ`	`GetSecurityRecipe`	nenhum
`use`	`read+` `SECURITY_RECIPE_UPDATE`	`UpdateSecurityRecipe`	nenhum
`manage`	`use+` `SECURITY_RECIPE_CREATE` `SECURITY_RECIPE_DELETE`	`CreateSecurityRecipe` `DeleteSecurityRecipe`	nenhum

security-zone

As APIs abrangidas para o tipo de recurso security-zone são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.


Verbo	Permissões	APIs Totalmente Incluídas	APIs Parcialmente Incluídas
`inspect`	`SECURITY_ZONE_INSPECT`	`ListSecurityZones`	nenhum
`read`	`inspect+` `SECURITY_ZONE_READ`	`GetSecurityZone`	nenhum
`use`	`read+` `SECURITY_ZONE_ATTACH` `SECURITY_ZONE_DETACH` `SECURITY_ZONE_UPDATE`	`AddCompartment` `RemoveCompartment` `UpdateSecurityZone`	nenhum
`manage`	`use+` `SECURITY_ZONE_CREATE` `SECURITY_ZONE_DELETE`	`CreateSecurityZone` `DeleteSecurityZone`	nenhum

Permissões Exigidas para cada Operação de API

Tabelas listando as operações da API em ordem lógica, agrupadas por tipo de recurso.

Os tipos de recursos são listados em Tipos de Recursos, na coluna "Tipos de Recursos Individuais".

Para obter informações sobre permissões, consulte permissões.

nuvem-guarda-adhoc-consulta


Operação de API	Permissões Exigidas para Usar a Operação
`ListAdhocQueries`	CG_ADHOC_QUERY_INSPECT
`GetAdhocQuery`	CG_ADHOC_QUERY_READ
`ListAdhocQueryResults`	CG_ADHOC_QUERY_READ
`GetAdhocQueryResultContent`	CG_ADHOC_QUERY_READ
`CreateAdhocQuery`	CG_ADHOC_QUERY_CREATE

cloud-guard-condition-metadata-types


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_INSPECT
`GetCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_READ

cloud-guard-config


Operação de API	Permissões Exigidas para Usar a Operação
`GetCloudGuard`	CG_CONFIG_INSPECT CG_CONFIG_READ
`UpdateCloudGuard`	CG_CONFIG_UPDATE

cobertura de proteção na nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`RequestSummarizedCoverage`	CG_COVERAGE_INSPECT

regras-máscara-dados-guarda-nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`CreateDataMaskRule`	CG_DATA_MASK_RULE_CREATE
`DeleteDataMaskRule`	CG_DATA_MASK_RULE_DELETE
`GetDataMaskRule`	CG_DATA_MASK_RULE_READ
`ListDataMaskRules`	CG_DATA_MASK_RULE_INSPECT
`UpdateDataMaskRule`	CG_DATA_MASK_RULE_UPDATE

nuvem-guard-fontes de dados


Operação de API	Permissões Exigidas para Usar a Operação
`ChangeDataSourceCompartment`	CG_DATA_SOURCE_MOVE
`CreateDataSource`	CG_DATA_SOURCE_CREATE
`DeleteDataSource`	CG_DATA_SOURCE_DELETE
`GetDataSource`	CG_CONFIG_READ
`ListDataSources`	CG_DATA_SOURCE_INSPECT
`UpdateDataSource`	CG_DATA_SOURCE_UPDATE

cloud-guard-detectors


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardDetectors`	CG_DETECTOR_INSPECT
`ListCloudGuardDetectorRules`	CG_DETECTOR_INSPECT
`GetCloudGuardDetector`	CG_DETECTOR_READ
`GetCloudGuardDetectorRule`	CG_DETECTOR_READ

cloud-guard-detector-recipes


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_INSPECT
`GetCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_READ
`CreateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_CREATE
`UpdateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_UPDATE
`DeleteCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_DELETE
`ChangeDetectorRecipeCompartment`	CG_DETECTOR_RECIPE_MOVE

cloud-guard-detector-rule-definitions


Operação de API	Permissões Exigidas para Usar a Operação
`CreateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_CREATE
`DeleteDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_DELETE
`GetDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_READ
`ListDetectorRuleDefinitions`	CG_DETECTOR_RULE_DEFINITION_INSPECT
`UpdateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_UPDATE

cloud-guard-findings


Operação de API	Permissões Exigidas para Usar a Operação
`CreateCloudGuardFinding`	CG_FINDING_CREATE

cloud-guard-managed-lists


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardManagedLists`	CG_MANAGED_LIST_INSPECT
`ListCloudGuardManagedListTypes`	CG_MANAGED_LIST_INSPECT
`GetCloudGuardManagedList`	CG_MANAGED_LIST_READ
`CreateCloudGuardManagedList`	CG_MANAGED_LIST_CREATE
`UpdateCloudGuardManagedList`	CG_MANAGED_LIST_UPDATE
`DeleteCloudGuardManagedList`	CG_MANAGED_LIST_DELETE
`ChangeManagedListCompartment`	CG_MANAGED_LIST_MOVE

metadados de proteção na nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`ListTactics`	CG_METADATA_INSPECT
`ListTechniques`	CG_METADATA_INSPECT

cloud-guard-meta-data-sync


Operação de API	Permissões Exigidas para Usar a Operação
`UpdateResourceSync`	CG_METADATASYNC_UPDATE
`GetMetaDataSyncStatus`	CG_METADATASYNC_READ

cloud-guard-problems


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardProblems`	CG_PROBLEM_INSPECT
`ListCloudGuardProblemHistories`	CG_PROBLEM_INSPECT
`ListCloudGuardResponderActivities`	CG_PROBLEM_INSPECT
`GetCloudGuardProblem`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedProblems`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedTrendProblems`	CG_PROBLEM_READ
`ListCloudGuardImpactedResources`	CG_PROBLEM_READ
`UpdateCloudGuardBulkProblemStatus`	CG_PROBLEM_UPDATE
`UpdateCloudGuardProblemStatus`	CG_PROBLEM_UPDATE
`TriggerCloudGuardResponder`	CG_PROBLEM_UPDATE

cloud-guard-recommendations


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardRecommendations`	CG_RECOMMENDATION_INSPECT

cloud-guard-perfil de recursos


Operação de API	Permissões Exigidas para Usar a Operação
`GetResourceProfile`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileEndpoints`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileImpactedResources`	CG_RESOURCE_PROFILE_READ
`ListResourceProfiles`	CG_RESOURCE_PROFILE_INSPECT
`RequestSummarizedTopTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ
`RequestSummarizedTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ

cloud-guard-resource-types


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardResourceTypes`	CG_RESOURCE_TYPES_INSPECT

visualização de recursos de proteção na nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`ListResources`	CG_RESOURCE_VIEW_INSPECT
`GetResource`	CG_RESOURCE_VIEW_READ

cloud-guard-responder-recipes


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_INSPECT
`ListCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_INSPECT
`GetCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_READ
`GetCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_READ
`CreateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_CREATE
`UpdateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_UPDATE
`ChangeCloudGuardResponderRecipeCompartment`	CG_RESPONDER_RECIPE_UPDATE
`UpdateCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_UPDATE
`DeleteCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_DELETE
`ChangeResponderRecipeCompartment`	CG_RESPONDER_RECIPE_MOVE

cloud-guard-responder-rules


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardResponderRules`	CG_RESPONDER_RULE_INSPECT
`GetCloudGuardResponderRule`	CG_RESPONDER_RULE_READ

cloud-guard-responder-executions


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_INSPECT
`GetCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedTrendResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`ExecuteCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardBulkResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE

cloud-guard-risk-scores


Operação de API	Permissões Exigidas para Usar a Operação
`RequestCloudGuardSummarizedRiskScores`	CG_RISK_SCORES_INSPECT
`RequestCloudGuardRiskScores`	CG_RISK_SCORES_INSPECT

consulta salva-guarda-nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`ChangeSavedQueryCompartment`	CG_SAVED_QUERY_MOVE
`CreateSavedQuery`	CG_SAVED_QUERY_CREATE
`DeleteSavedQuery`	CG_SAVED_QUERY_DELETE
`GetSavedQuery`	CG_SAVED_QUERY_READ
`ListSavedQueries`	CG_SAVED_QUERY_INSPECT
`UpdateSavedQuery`	CG_SAVED_QUERY_INSPECT

esquemas de proteção na nuvem


Operação de API	Permissões Exigidas para Usar a Operação
`CreateSchema`	CG_SCHEMA_CREATE
`DeleteSchema`	CG_SCHEMA_DELETE
`GetSchema`	CG_SCHEMA_READ
`ListSchemas`	CG_SCHEMA_INSPECT
`UpdateSchema`	CG_SCHEMA_UPDATE

cloud-guard-security-scores


Operação de API	Permissões Exigidas para Usar a Operação
`RequestCloudGuardSummarizedSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSummarizedTrendSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestSecurityScoreSummarizedTrend`	CG_SECURITY_SCORES_INSPECT

cloud-guard-service-logging


Operação de API	Permissões Exigidas para Usar a Operação
`CreateServiceLogging`	CG_SERVICE_LOGGING_CREATE
`DeleteServiceLogging`	CG_SERVICE_LOGGING_DELETE
`GetServiceLogging`	CG_SERVICE_LOGGING_READ
`UpdateCloudGuard`	CG_SERVICE_LOGGING_CREATE

cloud-guard-signals


Operação de API	Permissões Exigidas para Usar a Operação
`CreateCloudGuardSignal`	CG_SIGNAL_CREATE

cloud-guard-summary-event


Operação de API	Permissões Exigidas para Usar a Operação
`AddSummaryEvent`	CG_SUMMARY_EVENT_CREATE

cloud-guard-targets


Operação de API	Permissões Exigidas para Usar a Operação
`ListCloudGuardTargets`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipes`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipeDetectorRules`	CG_TARGET_INSPECT
`GetCloudGuardTarget`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipes`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipe`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipeResponderRules`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipe`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_READ
`CreateCloudGuardTarget`	CG_TARGET_CREATE
`UpdateCloudGuardTarget`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetResponderRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetDetectorRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_UPDATE
`DeleteCloudGuardTarget`	CG_TARGET_DELETE
`DeleteCloudGuardTargetResponderRecipe`	CG_TARGET_DELETE
`DeleteCloudGuardTargetDetectorRecipe`	CG_TARGET_DELETE

cloud-guard-user-preferences


Operação de API	Permissões Exigidas para Usar a Operação
`GetCloudGuardUserPreference`	CG_USER_PREFERENCE_INSPECT
`ReplaceCloudGuardUserPreference`	CG_USER_PREFERENCE_UPDATE

cloud-guard-work-solicitações


Operação de API	Permissões Exigidas para Usar a Operação
`CancelWorkRequest`	CG_WORK_REQUEST_DELETE
`GetWorkRequest`	CG_WORK_REQUEST_READ
`ListWorkRequestErrors`	CG_WORK_REQUEST_READ
`ListWorkRequestLogs`	CG_WORK_REQUEST_READ

política de segurança


Operação de API	Permissões Exigidas para Usar a Operação
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe


Operação de API	Permissões Exigidas para Usar a Operação
`ListSecurityRecipes`	`SECURITY_RECIPE_INSPECT`
`GetSecurityRecipe`	`SECURITY_RECIPE_READ`
`CreateSecurityRecipe`	`SECURITY_RECIPE_CREATE`
`UpdateSecurityRecipe`	`SECURITY_RECIPE_UPDATE`
`DeleteSecurityRecipe`	`SECURITY_RECIPE_DELETE`

security-zone


Operação de API	Permissões Exigidas para Usar a Operação
`ListSecurityZones`	`SECURITY_ZONE_INSPECT`
`GetSecurityZone`	`SECURITY_ZONE_READ`
`CreateSecurityZone`	`SECURITY_ZONE_CREATE`
`UpdateSecurityZone`	`SECURITY_ZONE_UPDATE`
`DeleteSecurityZone`	`SECURITY_ZONE_DELETE`
`AddCompartment`	`SECURITY_ZONE_ATTACH`
`RemoveCompartment`	`SECURITY_ZONE_DETACH`

Criando uma Política

Etapas de criação de uma política com suporte a chamadas de API REST do Cloud Guard.

Veja como criar uma política:

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Políticas.
Selecione Criar Política.
Digite um nome e uma descrição para a política.
Evite digitar informações confidenciais.
No campo Instrução , digite uma regra de política no seguinte formato:

allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>
Selecione Criar.

Para obter mais informações sobre a criação de políticas, consulte como as políticas funcionam e referência de política.

Exemplos de Política

Saiba mais sobre políticas de IAM do Cloud Guard usando exemplos.

Permita que os usuários do grupo SecurityAdmins crie, atualize e exclua todos os recursos do Cloud Guard em toda a tenancy:
```
Allow group SecurityAdmins to manage cloud-guard-family in tenancy
```
Permita que os usuários do grupo SecurityAdmins criem, atualizem e excluam todas as zonas de segurança e receitas em toda a tenancy:
```
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
```

Permita que os usuários do grupo SecurityAuditors exibam as zonas de segurança e receitas no compartimento SecurityArtifacts:

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Para obter mais exemplos de política, consulte Instruções de Política para Usuários.