Documentação do Oracle Cloud Infrastructure

Atributos de Segurança

Um atributo de segurança é um label que pode ser referenciado na política ZPR (Zero Trust Packet Routing) para controlar o acesso aos recursos suportados.

Quando você ativa o ZPR, ele cria um exemplo de atributo de segurança chamado sensitivity no namespace do atributo de segurança oracle-zpr. Você pode alterar ou excluir o atributo de segurança sensitivity.

Permissões Obrigatórias para Trabalhar com Atributos de Segurança

Para aplicar, atualizar ou remover um atributo de segurança de um recurso, um usuário deve receber permissões do recurso e permissões para usar o namespace do atributo de segurança.

Os usuários devem receber acesso use no namespace do atributo de segurança para aplicar, atualizar ou remover um atributo de segurança de um recurso. Por exemplo, para permitir o acesso de UserGroupA ao namespace do atributo de segurança public:

Allow UserGroupA to use security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

Para permitir o acesso UserGroupA em todos os namespaces de atributo de segurança em uma tenancy: 

Allow UserGroupA to use security-attribute-namespaces in tenancy

Além das permissões para trabalhar com o namespace do atributo de segurança, o usuário também deve ter permissão para atualizar o recurso para aplicar ou remover atributos de segurança. Para muitos recursos, a permissão de atualização é concedida com o verbo use. Por exemplo, os usuários que podem usar instâncias em CompartmentA também podem aplicar, atualizar ou remover atributos de segurança de instâncias em CompartmentA.

allow UserGroupA to use instance-family in tenancy

Alguns recursos não incluem a permissão de atualização com o verbo use. Para permitir que um grupo aplique, atualize ou remova atributos de segurança desses recursos sem conceder as permissões completas de gerenciamento, você pode adicionar uma instrução de política para conceder somente a permissão '<resource>_ update' do verbo manage. Por exemplo, para permitir que o grupo NetworkUsers trabalhe com VCNs com atributos de segurança em CompartmentA, você poderá gravar uma política como a seguinte:


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

A permissão inspect para um recurso concede permissões para exibir atributos de segurança para esse recurso. Por exemplo, os usuários que podem inspecionar instâncias também podem exibir qualquer atributo de segurança aplicado à instância.

Para obter informações sobre permissões de recursos, consulte a Referência de Políticas. Para obter informações sobre políticas do IAM ZPR, consulte Políticas do IAM de Roteamento de Pacote de Confiança Zero.

Noções Básicas de Atributos de Segurança

Você pode aplicar até três atributos de segurança a cada recurso suportado. Consulte Limites para obter mais informações sobre limites no ZPR (Zero Trust Packet Routing).

Os nomes de atributo de segurança têm as mesmas convenções de nomenclatura dos namespaces de atributo de segurança. Os únicos caracteres válidos para nomes de atributos de segurança são os seguintes:

  • 0-9
  • A-Z
  • a-z
  • - (traço)
  • _ (sublinhado)

Os nomes de atributo de segurança devem começar com uma letra a-z e devem ser exclusivos dentro do mesmo namespace de atributo de segurança. Os nomes de atributos de segurança não fazem distinção entre maiúsculas e minúsculas, o que significa que, por exemplo, mySecurityAttribute e mysecurityattribute não são permitidos no mesmo namespace. Se você especificar um nome que já esteja em uso no namespace do atributo de segurança, receberá um erro.

Cada atributo de segurança deve ter uma descrição. As descrições não precisam ser exclusivas e podem ser atualizadas posteriormente.

Cada atributo de segurança recebe um status dependendo de onde o atributo de segurança está em seu ciclo de vida:

ACTIVE
O atributo de segurança está ativo.
INACTIVE
O atributo de segurança foi desativado.
DELETING
O atributo de segurança está em processo de exclusão.
DELETED
O atributo de segurança é excluído.

Quando você não precisar mais de um atributo de segurança, poderá excluí-lo. Para excluir um atributo de segurança, você deve primeiro desativá-lo. Somente um atributo de segurança desativado pode ser excluído.

Consulte Gerenciando Atributos de Segurança para ver as operações que você pode executar para gerenciar atributos de segurança.

Valores do Atributo de Segurança

Para organizar ainda mais os recursos, atribua valores a um atributo de segurança.

Por exemplo, para organizar seus recursos, uma empresa aplica os seguintes atributos de segurança:

  • aplicações
  • redes
  • bancos de dados

Para categorizar ainda mais os recursos, a empresa define os seguintes tipos de valor nos atributos de segurança:

  • aplicações
    • aplicativo de rh
    • folha de pagamento - aplicativo
    • aplicativo de benefícios
  • redes
    • rede frontal
    • rede traseira
  • bancos de dados
    • autonomous-databases
    • nuvem autônoma-vmclustersouth
    • cloud-vmclusters
    • db-systems

O ZPR fornece as seguintes opções para aplicar tipos de valor a atributos de segurança:

Estático
O usuário informa um valor.
Lista de valores
O usuário seleciona em uma lista de valores fornecidos.

Você pode definir tipos de valor ao criar ou atualizar um atributo de segurança ou ao gerenciar seus recursos protegidos.