Políticas do IAM para o Serviço Network Firewall

Crie políticas de segurança no Oracle Cloud Infrastructure Identity and Access Management (IAM).

Por padrão, apenas os usuários do grupo Administrators podem acessar todos os recursos e funções do serviço Network Firewall. Para controlar o acesso de usuário não administrador a funções e recursos do Firewall de Rede, crie grupos do IAM e, em seguida, crie políticas para conceder acesso a grupos de usuários.

Para obter uma lista completa das políticas do Oracle Cloud Infrastructure, consulte a Referência de Políticas.

Resource-Types

O serviço Network Firewall oferece resource-types agregados e individuais para a criação de políticas.

Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie network-firewall e network-firewall-policy, você pode gravar uma política que permita ao grupo gerenciar o resource-type agregado, network-firewall-family.

Tipo de Recurso Agregado Tipos de Recursos Individuais
network-firewall-family

network-firewall

network-firewall-policy

As APIs incluídas para o resource-type agregado network-firewall-family incluem as APIs para work-requests.

Variáveis Compatíveis

Leia sobre as variáveis compatíveis com o Oracle Cloud Infrastructure Network Firewall.

O serviço Network Firewall é compatível com todas as variáveis gerais. Consulte Variáveis Gerais para Todas as Solicitações.

Detalhes das Combinações de Verbos e Tipo de Recurso

Há vários verbos e tipos de recursos do Oracle Cloud Infrastructure que podem ser usados para criar uma política.

As tabelas a seguir mostram as permissões e operações de API incluídas por cada verbo do Network Firewall. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

network-firewall
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect NETWORK_FIREWALL_INSPECT ListNetworkFirewalls nenhuma
read

INSPECT+

NETWORK_FIREWALL_READ

INSPECT+GetNetworkFirewall nenhuma
use

READ+

NETWORK_FIREWALL_UPDATE

NETWORK_FIREWALL_MOVE

READ+

ChangeNetworkFirewallCompartment

UpdateNetworkFirewall (também precisa de use network-firewall-policypara alterar a política de firewall e de use network-security-groups para alterar os NSGs associados.
manage

USE+

NETWORK_FIREWALL_CREATE

NETWORK_FIREWALL_DELETE

CreateNetworkFirewall

também precisa de read network-firewall-policyuse vnics, use subnets e VNIC_ASSIGN.

Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de use network-security-groups

DeleteNetworkFirewall

também precisa de use vnics e use subnets.

Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de use network-security-groups

As operações de rede acima são totalmente abrangidas com apenas manage virtual-network-family.

network-firewall-policy
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspect NETWORK_FIREWALL_POLICY_INSPECT ListNetworkFirewallPolicies nenhuma
read

INSPECT+

NETWORK_FIREWALL_POLICY_READ

INSPECT+GetNetworkFirewallPolicy nenhuma
use

READ+

NETWORK_FIREWALL_POLICY_UPDATE

NETWORK_FIREWALL_POLICY_MOVE

READ+

ChangeNetworkFirewallPolicyCompartment

UpdateNetworkFirewallPolicy (também precisa de use network-firewallpara alterar o firewall ao qual ele está associado.
manage

USE+

NETWORK_FIREWALL_POLICY_CREATE

NETWORK_FIREWALL_POLICY_DELETE

CreateNetworkFirewallPolicy

DeleteNetworkFirewallPolicy

nenhuma

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API do Oracle Cloud Infrastructure Network Firewall em ordem lógica, agrupadas por resource-type.

Esta tabela lista as operações de API em ordem lógica, agrupadas por resource-type e as permissões necessárias para network-firewall e network-firewall-policy:

Permissões Obrigatórias
Operação de API Permissões
ListNetworkFirewalls NETWORK_FIREWALL_INSPECT
CreateNetworkFirewall NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) + NETWORK_FIREWALL_POLICY_READ (para anexar política ao Firewall)

Permissões necessárias para usar NAT no Firewall

PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_CREATE (Compartimento de sub-rede) + PRIVATE_IP_ASSIGN (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + VNIC_UNASSIGN Sub-rede (Compartimento de sub-rede) + SUBNET_DETACH (Compartimento de sub-rede)

GetNetworkFirewall NETWORK_FIREWALL_READ
UpdateNetworkFirewall NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (para atualizar a associação de políticas) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG)

Permissões necessárias para usar NAT no Firewall

PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_CREATE (Compartimento de sub-rede) + PRIVATE_IP_ASSIGN (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + SUBNET_ATTACH (Compartimento de sub-rede) + VNIC_ASSIGN (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + SUBNET_DETACH (Compartimento de sub-rede) + Sub-rede VNIC_UNASSIGN (Compartimento de sub-rede)

DeleteNetworkFirewall NETWORK_FIREWALL_DELETE + VNIC_DELETE + VNIC_DETACH (compartimento vnic) + VNIC_ATTACHMENT_READ (compartimento vnic) + SUBNET_DETACH (compartimento sub-rede) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG)

Permissões necessárias para usar NAT no Firewall

PRIVATE_IP_READ (Compartimento de sub-rede) + PRIVATE_IP_DELETE (Compartimento de sub-rede) + PRIVATE_IP_UNASSIGN (Compartimento de sub-rede) + Sub-rede VNIC_UNASSIGN (Compartimento de sub-rede)

ChangeNetworkFirewallCompartment NETWORK_FIREWALL_MOVE
ListNetworkFirewallPolicies NETWORK_FIREWALL_POLICY_INSPECT
CreateNetworkFirewallPolicy NETWORK_FIREWALL_POLICY_CREATE
GetNetworkFirewallPolicy NETWORK_FIREWALL_POLICY_READ
UpdateNetworkFirewallPolicy NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE
DeleteNetworkFirewallPolicy NETWORK_FIREWALL_POLICY_DELETE
ChangeNetworkFirewallPolicyCompartment NETWORK_FIREWALL_POLICY_MOVE

Criar Políticas do Serviço IAM para o serviço Network Firewall

Saiba como criar políticas do serviço IAM (Identity and Access Management) para o serviço Network Firewall.

Para criar políticas para um grupo de usuários, você precisa saber o nome do grupo do IAM.

Para criar uma política:

  1. No menu de navegação da Console, vá para Identity & Security e, em Identity, selecione Policies.
  2. Selecione Criar Política.
  3. Digite um Nome e uma Descrição (opcional) para a política.
  4. Selecione o Compartimento no qual criar a política.
  5. Selecione Mostrar editor manual. Em seguida, digite as instruções de política necessárias.
  6. (Opcional) Selecione Criar Outra Política para permanecer na página Criar Política depois de criar essa política.
  7. Selecione Criar.

Consulte também como as políticas funcionam, sintaxe de política e referência de política.

Política Comum do Serviço IAM para o Serviço Network Firewall

Use essa política do serviço IAM para criar e gerenciar recursos do Firewall de Rede.

Permitir que grupos de usuários criem, alterem e excluam firewalls e políticas de firewall

Tipo de acesso: Capacidade de criar, alterar ou excluir uma política de firewall ou de firewall. As funções administrativas para firewalls ou políticas de firewall incluem a capacidade de criá-los, atualizá-los e excluí-los.

Onde criar a política: Na tenancy, para que a capacidade de criar, alterar ou excluir um recurso de firewall seja concedida a todos os compartimentos por meio da herança de política. Para reduzir o escopo aos firewalls em um compartimento em particular, especifique esse compartimento em vez da tenancy.

Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>