Políticas do IAM (Identity and Access Management) para o serviço Network Firewall
Use o Oracle Cloud Infrastructure Identity and Access Management (IAM) para criar políticas.
Por padrão, somente os usuários do grupo Administrators podem acessar todos os recursos e funções no Network Firewall. Para controlar o acesso de usuário não administrador a recursos e funções do Network Firewall, crie grupos do IAM e, em seguida, crie políticas que concedam aos grupos o acesso adequado.
Se você precisar de uma lista completa das políticas do Oracle Cloud Infrastructure, consulte Referência de Políticas.
Resource-Types
O serviço Network Firewall oferece resource-types agregados e individuais para a criação de políticas.
Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie network-firewall e network-firewall-policy, você pode gravar uma política que permita ao grupo gerenciar o resource-type agregado, network-firewall-family.
| Resource-Type Agregado | Resource-Types Individuais |
|---|---|
network-firewall-family |
|
As APIs incluídas para o resource-type agregado network-firewall-family incluem as APIs para work-requests.
Variáveis Compatíveis
Leia sobre as variáveis compatíveis com o Oracle Cloud Infrastructure Network Firewall.
O serviço Network Firewall é compatível com todas as variáveis gerais. Consulte Variáveis Gerais para Todas as Solicitações.
Detalhes das Combinações de Verbos e Tipo de Recurso
Há diversos verbos e tipos de recursos do Oracle Cloud Infrastructure que podem ser usados para criar uma política.
As tabelas a seguir mostram as permissões e operações de API incluídas por cada verbo do Network Firewall. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
nenhuma |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
nenhuma |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (também precisa de use network-firewall-policypara alterar a política de firewall e de use network-security-groups para alterar os NSGs associados. |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
também precisa de read Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de DeleteNetworkFirewall também precisa de Se houver quaisquer NSGs (grupos de segurança de rede) associados ao firewall, também precisará de As operações de rede acima são totalmente abrangidas com apenas |
| Verbos | Permissões | APIs Totalmente Incluídas | APIs Parcialmente Incluídas |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
nenhuma |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
nenhuma |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (também precisa de use network-firewallpara alterar o firewall ao qual ele está associado. |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
nenhuma |
Permissões Exigidas para cada Operação de API
A tabela a seguir lista as operações de API do Oracle Cloud Infrastructure Network Firewall em ordem lógica, agrupadas por resource-type.
Esta tabela lista as operações de API em ordem lógica, agrupadas por resource-type e as permissões necessárias para network-firewall e network-firewall-policy:
| Operação de API | Permissões |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (para atualizar a associação de políticas) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + SUBNET_DETACH + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (para atualizar NSGs associados) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (para atualizar associações de NSG) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
Criando uma Política
Saiba como criar políticas do serviço IAM (Identity and Access Management) para o serviço Network Firewall.
Para criar políticas para um grupo de usuários, você precisa saber o nome do grupo do IAM do Oracle Cloud Infrastructure.
Para criar uma política:
- No menu de navegação da Console, selecione Identidade e Segurança e em Identidade selecione Políticas.
- Clique em Criar Política.
- Digite um Nome e uma Descrição (opcional) para a política.
- Selecione o Compartimento no qual criar a política.
- Selecione Mostrar editor manual. Em seguida, digite as instruções de política necessárias.
- (Opcional) Selecione Criar Outra Política para permanecer na página Criar Política depois de criar essa política.
- Para criar esse política, clique em Criar.
Consulte também como as políticas funcionam, sintaxe de política e referência de política.
Políticas Comuns
Use essas políticas comuns para criar e gerenciar recursos do serviço Network Firewall.
Permitir que os usuários criem, gerenciem e excluam firewalls de rede e políticas de firewall de rede
Tipo de acesso: Capacidade de criar, gerenciar ou excluir um firewall de rede ou uma política de firewall de rede. As funções administrativas para firewalls de rede ou políticas de firewall de rede incluem a capacidade de criá-los, atualizá-los e excluí-los.
Onde criar a política: Na tenancy, para que a capacidade de criar, gerenciar ou excluir um recurso de firewall de rede seja facilmente concedida a todos os compartimentos por meio da herança da política. Para reduzir o escopo dessas funções administrativas a firewalls de rede em um compartimento em particular, especifique esse compartimento em vez da tenancy.
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>Permitir que o serviço Network Firewall acesse segredos do Vault
Tipo de acesso: Permite que o serviço Network Firewall acesse seus segredos do vault para que eles possam ser usados para decriptografar o tráfego de rede. Consulte Configurando a Autenticação de Certificado para obter mais informações.
Onde criar a política: No compartimento em que o vault reside.
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>