Políticas do IAM para o Serviço Network Firewall
Crie políticas de segurança no Oracle Cloud Infrastructure Identity and Access Management (IAM).
Por padrão, apenas os usuários do grupo Administrators podem acessar todos os recursos e funções do serviço Network Firewall. Para controlar o acesso de usuário não administrador a funções e recursos do Firewall de Rede, crie grupos do IAM e, em seguida, crie políticas para conceder acesso a grupos de usuários.
Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte a Referência de Políticas.
Resource-Types
O serviço Network Firewall oferece resource-types agregados e individuais para a criação de políticas.
Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie network-firewall e network-firewall-policy, você pode gravar uma política que permita ao grupo gerenciar o resource-type agregado, network-firewall-family.
| Tipo de Recurso Agregado | Tipos de Recursos Individuais |
|---|---|
network-firewall-family |
|
As APIs incluídas para o resource-type agregado network-firewall-family incluem as APIs para work-requests.
Variáveis Compatíveis
Leia sobre as variáveis compatíveis com o Oracle Cloud Infrastructure Network Firewall.
O serviço Network Firewall é compatível com todas as variáveis gerais. Consulte Variáveis Gerais para Todas as Solicitações.
Detalhes das Combinações de Verbos e Tipo de Recurso
Há vários verbos e tipos de recursos do Oracle Cloud Infrastructure que podem ser usados para criar uma política.
As tabelas a seguir mostram as permissões e operações de API incluídas por cada verbo do Network Firewall. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
nenhuma |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
nenhuma |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (também precisa de use network-firewall-policypara alterar a política de firewall e de use network-security-groups para alterar os NSGs associados. |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
também precisa de read Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de DeleteNetworkFirewall também precisa de Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de As operações de rede acima são totalmente abrangidas com apenas |
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
nenhuma |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
nenhuma |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (também precisa de use network-firewallpara alterar o firewall ao qual ele está associado. |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
nenhuma |
Permissões Exigidas para cada Operação de API
A tabela a seguir lista as operações de API do Oracle Cloud Infrastructure Network Firewall em ordem lógica, agrupadas por resource-type.
Esta tabela lista as operações de API em ordem lógica, agrupadas por resource-type e as permissões necessárias para network-firewall e network-firewall-policy:
| Operação de API | Permissões |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (para anexar política ao Firewall) Permissões necessárias para usar NAT no Firewall PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_CREATE (Compartimento de sub-rede) + PRIVATE_IP_ASSIGN (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + VNIC_UNASSIGN Sub-rede (Compartimento de sub-rede) + SUBNET_DETACH (Compartimento de sub-rede) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (para atualizar a associação de políticas) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG) Permissões necessárias para usar NAT no Firewall PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_CREATE (Compartimento de sub-rede) + PRIVATE_IP_ASSIGN (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + SUBNET_ATTACH (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + SUBNET_DETACH (Compartimento de sub-rede) + Sub-rede VNIC_UNASSIGN (Compartimento de sub-rede) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartimento vnic) + VNIC_ATTACHMENT_READ (compartimento vnic) + SUBNET_DETACH (compartimento sub-rede) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG) Permissões necessárias para usar NAT no Firewall PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + Sub-rede VNIC_UNASSIGN (Compartimento de sub-rede) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Criar Políticas do Serviço IAM para o serviço Network Firewall
Saiba como criar políticas do serviço IAM (Identity and Access Management) para o serviço Network Firewall.
Para criar políticas para um grupo de usuários, você precisa saber o nome do grupo do IAM.
Para criar uma política:
- No menu de navegação da Console, vá para Identity & Security e, em Identity, selecione Policies.
- Selecione Criar Política.
- Digite um Nome e uma Descrição (opcional) para a política.
- Selecione o Compartimento no qual criar a política.
- Selecione Mostrar editor manual. Em seguida, digite as instruções de política necessárias.
- (Opcional) Selecione Criar Outra Política para permanecer na página Criar Política depois de criar essa política.
- Selecione Criar.
Consulte também como as políticas funcionam, sintaxe de política e referência de política.
Política Comum do Serviço IAM para o Serviço Network Firewall
Use essa política do serviço IAM para criar e gerenciar recursos do Firewall de Rede.
Permitir que grupos de usuários criem, alterem e excluam firewalls e políticas de firewall
Tipo de acesso: Capacidade de criar, alterar ou excluir uma política de firewall ou de firewall. As funções administrativas para firewalls ou políticas de firewall incluem a capacidade de criá-los, atualizá-los e excluí-los.
Onde criar a política: Na tenancy, para que a capacidade de criar, alterar ou excluir um recurso de firewall seja concedida a todos os compartimentos por meio da herança de política. Para reduzir o escopo aos firewalls em um compartimento em particular, especifique esse compartimento em vez da tenancy.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>