Documentação do Oracle Cloud Infrastructure

Políticas de IAM de Roteamento de Pacotes de Confiança Zero

Use o serviço Oracle Cloud Infrastructure Identity and Access Management (IAM) para criar políticas para controlar o acesso ao serviço ZPR (Zero Trust Packet Routing).

Consulte Detalhes dos Serviços Principais para obter informações sobre políticas do serviço IAM para Rede e Computação.

Tipos de Recurso Individual

zpr-policy

zpr-security-attribute

Tipos de Recursos Agregados

zpr-family

security-attribute-family

Uma política que usa um tipo de recurso agregado, por exemplo, <verb> zpr-family, é igual a gravar uma política com uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos individuais.

Consulte a tabela em Detalhes de Combinações de Verbos + Tipo de Recurso para obter informações detalhadas sobre as operações da API abrangidas por cada verbo, para cada tipo de recurso individual incluído em zpr-family e security-attribute-family.

Variáveis Suportadas

O Zero Trust Packet Routing suporta todas as variáveis gerais, além das listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços Oracle Cloud Infrastructure, consulte Detalhes para Combinações de Verbos + Resource-Type.

Variável Tipo de Variável Comentários
target.security-attribute-namespace.name String Use essa variável para controlar se deseja permitir operações em um namespace de atributo de segurança específico em resposta a uma solicitação para ler, atualizar, excluir ou mover um namespace de atributo de segurança ou para exibir informações relacionadas a solicitações de serviço para um namespace de atributo de segurança.
target.security-attribute-namespace.id Entidade Essa variável só é suportada em instruções que concedem permissões para o tipo de recurso security-attribute-namespaces.

Detalhes das Combinações de Verbos e Tipo de Recurso

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage.

Um sinal de adição (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto no extra indica nenhum acesso incremental.

Por exemplo, o verbo read para o tipo de recurso zpr-policy inclui as mesmas permissões e operações de API do verbo inspect, mas também adiciona a operação de API GetZprPolicy. Além disso, o verbo manage do tipo de recurso zpr-policy permite ainda mais permissões em comparação com a permissão use. Para o tipo de recurso zpr-policy, o verbo manage inclui as mesmas permissões e operações de API que o verbo use, mais as permissões ZPR_POLICY_CREATE e ZPR_POLICY_DELETE e as operações de API aplicáveis (CreateZprPolicy e DeleteZprPolicy).

política de zpr
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspecionar

ZPR_POLICY_INSPECT

ListZprPolicies

ListZprPolicyWorkRequests

nenhum
leitura

INSPECT +

ZPR_POLICY_READ

INSPECT +

GetZprPolicy

GetZprPolicyWorkRequest

ListZprPolicyWorkRequestErrors

ListZprPolicyWorkRequestLogs

nenhum
use

READ +

ZPR_POLICY_UPDATE

UpdateZprPolicy

 

nenhum
gerenciar

USE +

ZPR_POLICY_CREATE

ZPR_POLICY_DELETE

USE +

CreateZprPolicy

DeleteZprPolicy

nenhum
zpr-configuração
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspecionar

nenhum
leitura

INSPECT +

ZPR_CONFIGURATION_READ

INSPECT +

GetConfiguration

GetZprConfigurationWorkRequest

ListZprConfigurationWorkRequests

ListZprConfigurationWorkRequestErrors

ListZprConfigurationWorkRequestLogs

nenhum
use

READ +

ZPR_CONFIGURATION_UPDATE

UpdateConfiguration

 

nenhum
gerenciar

USE +

ZPR_CONFIGURATION_CREATE

ZPR_CONFIGURATION_DELETE

USE +

CreateConfiguration

DeleteConfiguration

nenhum
espaço de nome do atributo de segurança
Verbos Permissões APIs Totalmente Incluídas APIs Parcialmente Incluídas
inspecionar

SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttributeNamespace

ReadSecurityAttribute

SecurityAttributeWorkRequest

nenhum
leitura

INSPECT +

SECURITY_ATTRIBUTE_NAMESPACE_READ

INSPECT +

ReadSecurityAttributeNamespace

ReadSecurityAttribute

nenhum
use

READ +

SECURITY_ATTRIBUTE_NAMESPACE_USE

 

nenhum
gerenciar

USE +

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

SECURITY_ATTRIBUTE_NAMESPACE_DELETE

SECURITY_ATTRIBUTE_NAMESPACE_MOVE

SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

ZPR_CONFIGURATION_DELETE

USE +

CreateSecurityAttributeNamespace

DeleteSecurityAttributeNamespace

CascadeDeleteSecurityAttributeNamespace

DeleteSecurityAttribute

ChangeCompartment para SecurityAttributeNamespace

UpdateSecurityAttributeNamespace

CreateSecurityAttribute

UpdateSecurityAttribute

nenhum

Permissões Exigidas para cada Operação de API

As seções a seguir listam as operações API de Roteamento de Pacote Confiável Zero e API de Atributo de Segurança.

Operações de API de Roteamento de Pacotes de Confiança Zero

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.

Para obter informações sobre permissões, consulte Permissões.

Operação de API Permissões Obrigatórias para Usar a Operação

ListZprPolicies

ListZprPolicyWorkRequests

 ZPR_POLICY_INSPECT
CreateZprPolicy ZPR_POLICY_CREATE

GetZprPolicy

 ZPR_POLICY_READ

GetZprPolicyWorkRequest

 ZPR_POLICY_READ

ListZprPolicyWorkRequestErrors

 ZPR_POLICY_READ

ListZprPolicyWorkRequestLogs

 ZPR_POLICY_READ
UpdateZprPolicy ZPR_POLICY_UPDATE
DeleteZprPolicy ZPR_POLICY_DELETE
CreateConfiguration ZPR_CONFIGURATION_CREATE

GetConfiguration

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequests

 ZPR_CONFIGURATION_READ

GetZprConfigurationWorkRequest

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestErrors

 ZPR_CONFIGURATION_READ

ListZprConfigurationWorkRequestLogs

 ZPR_CONFIGURATION_READ
UpdateConfiguration ZPR_CONFIGURATION_UPDATE
DeleteConfiguration ZPR_CONFIGURATION_DELETE
Operações de API do Atributo de Segurança

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.

Para obter informações sobre permissões, consulte Permissões.

Operação de API Permissões Obrigatórias para Usar a Operação
CreateSecurityAttributeNamespace

SECURITY_ATTRIBUTE_NAMESPACE_CREATE

DeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

CascadeDeleteSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

DeleteSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_DELETE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT

SecurityAttributeWorkRequest

 SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
ChangeSecurityAttributeNamespaceCompartment SECURITY_ATTRIBUTE_NAMESPACE_MOVE

ReadSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_READ

ReadSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_READ

UpdateSecurityAttributeNamespace

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

CreateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

 SECURITY_ATTRIBUTE_NAMESPACE_UPDATE

UpdateSecurityAttribute

SECURITY_ATTRIBUTE_NAMESPACE_USE

Exemplos de Política

Use os exemplos a seguir para saber mais sobre as políticas de IAM do Zero Trust Packet Routing.

Para usar o serviço ZPR (Zero Trust Packet Routing), os usuários precisam das seguintes permissões para outros recursos do Oracle Cloud Infrastructure:

  • Ler instâncias de computação
  • Ler recursos do banco de dados
  • Inspecionar solicitações de serviço

Para saber mais, consulte Detalhes dos Serviços Principais, incluindo Rede e Computação.

Exemplos de Política do ZPR IAM

  • Permita que os usuários do grupo SecurityAdmins criem, atualizem e excluam todas as políticas ZPR em toda a tenancy:

    Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

  • Permita que os usuários do grupo SecurityAuditors exibam todos os recursos ZPR na tenancy:

    Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

  • Permita que o grupo app-admin gerencie apenas o namespace do atributo de segurança applications e o grupo database-admin gerencie apenas o namespace do atributo de segurança database.

    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'
    e
    Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'