Zero Trust Packet RoutingのIAMポリシー
Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスを使用して、Zero Trust Packet Routing (ZPR)サービスへのアクセスを制御するポリシーを作成します。
Networking and ComputeのIAMポリシーの詳細は、コア・サービスの詳細を参照してください。
個別リソース・タイプ
zpr-policy
zpr-security-attribute
集約リソース・タイプ
zpr-family
security-attribute-family
集約リソース・タイプ(<verb> zpr-familyなど)を使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>文を使用してポリシーを記述することと同じです。
zpr-familyおよびsecurity-attribute-familyに含まれる個々のリソース・タイプについて、各動詞で説明されるAPI操作の詳細な情報については、動詞およびリソース・タイプの組合せに関する詳細の表を参照してください。
サポートされている変数
Zero Trust Packet Routingでは、すべての一般的な変数と、ここにリストされた変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、「動詞+リソース・タイプの組合せの詳細」を参照してください。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.security-attribute-namespace.name
|
文字列 | この変数を使用して、セキュリティ属性ネームスペースの読取り、更新、削除または移動のリクエストに応じて特定のセキュリティ属性ネームスペースに対する操作を許可するか、セキュリティ属性ネームスペースの作業リクエストに関連する情報を表示するかを制御します。 |
target.security-attribute-namespace.id
|
エンティティ | この変数は、security-attribute-namespacesリソース・タイプの権限を付与するステートメントでのみサポートされます。 |
動詞+リソース・タイプの組合せの詳細
アクセスのレベルは、inspectからread、use、manageの順に累積します。
表のセルにあるプラス記号(+)は、前のセルと比較してアクセス権が増えていることを示し、「追加なし」はアクセス権が増えていないことを示します。
たとえば、zpr-policyリソース・タイプの動詞readには、動詞inspectと同じ権限とAPI操作が含まれ、GetZprPolicy API操作も追加されています。同様に、zpr-policyリソース・タイプの動詞manageでは、use権限と比較してさらに多くの権限が許可されています。zpr-policyリソース・タイプの場合、manage動詞には、use動詞と同じ権限およびAPI操作に加え、ZPR_POLICY_CREATEおよびZPR_POLICY_DELETE権限、および適用可能なAPI操作(CreateZprPolicyおよびDeleteZprPolicy)が含まれます。
| 動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
|---|---|---|---|
| inspect |
ZPR_POLICY_INSPECT |
|
指定しない |
| 読取り |
INSPECT + ZPR_POLICY_READ |
INSPECT +
|
指定しない |
| 使用 |
READ + ZPR_POLICY_UPDATE |
|
指定しない |
| 管理 |
USE + ZPR_POLICY_CREATE ZPR_POLICY_DELETE |
USE +
|
指定しない |
| 動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
|---|---|---|---|
| inspect |
|
指定しない |
|
| 読取り |
INSPECT + ZPR_CONFIGURATION_READ |
INSPECT +
|
指定しない |
| 使用 |
READ + ZPR_CONFIGURATION_UPDATE |
|
指定しない |
| 管理 |
USE + ZPR_CONFIGURATION_CREATE ZPR_CONFIGURATION_DELETE |
USE +
|
指定しない |
| 動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
|---|---|---|---|
| inspect |
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
指定しない |
| 読取り |
INSPECT + SECURITY_ATTRIBUTE_NAMESPACE_READ |
INSPECT +
|
指定しない |
| 使用 |
READ + SECURITY_ATTRIBUTE_NAMESPACE_USE |
指定しない |
|
| 管理 |
USE + SECURITY_ATTRIBUTE_NAMESPACE_CREATE SECURITY_ATTRIBUTE_NAMESPACE_DELETE SECURITY_ATTRIBUTE_NAMESPACE_MOVE SECURITY_ATTRIBUTE_NAMESPACE_UPDATE ZPR_CONFIGURATION_DELETE |
USE +
|
指定しない |
API操作ごとに必要な権限
次の各項では、Zero Trust Packet Routing APIおよびセキュリティ属性API操作を示します。
次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
|
|
ZPR_POLICY_INSPECT |
CreateZprPolicy
|
ZPR_POLICY_CREATE |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
|
|
ZPR_POLICY_READ |
UpdateZprPolicy
|
ZPR_POLICY_UPDATE |
DeleteZprPolicy
|
ZPR_POLICY_DELETE |
CreateConfiguration
|
ZPR_CONFIGURATION_CREATE |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
|
|
ZPR_CONFIGURATION_READ |
UpdateConfiguration
|
ZPR_CONFIGURATION_UPDATE |
DeleteConfiguration
|
ZPR_CONFIGURATION_DELETE |
次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
CreateSecurityAttributeNamespace
|
SECURITY_ATTRIBUTE_NAMESPACE_CREATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_DELETE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_INSPECT |
ChangeSecurityAttributeNamespaceCompartment
|
SECURITY_ATTRIBUTE_NAMESPACE_MOVE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_READ |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_READ |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_UPDATE |
|
|
SECURITY_ATTRIBUTE_NAMESPACE_USE |
ポリシーの例
Zero Trust Packet Routing IAMポリシーについて学習するには、次の例を使用します。
Zero Trust Packet Routing (ZPR)サービスを使用するには、他のOracle Cloud Infrastructureリソースに対して次の権限が必要です。
- コンピュート・インスタンスの読取り
- データベース・リソースの読取り
- 作業リクエストの検査
さらに学習するには、ネットワーキングおよびコンピュートを含むコア・サービスの詳細を参照してください。
-
グループ
SecurityAdminsのユーザーに、テナンシ全体のすべてのZPRポリシーの作成、更新および削除を許可します:Allow group SecurityAdmins to manage zpr-configuration in tenancy Allow group SecurityAdmins to manage security-attribute-namespace in tenancy Allow group SecurityAdmins to manage zpr-policy in tenancy -
グループ
SecurityAuditorsのユーザーがテナンシ内のすべてのZPRリソースを表示できるようにします:Allow group SecurityAuditors to read zpr-configuration in tenancy Allow group SecurityAuditors to read zpr-policy in tenancy Allow group SecurityAuditors to read security-attribute-namespace in tenancy グループ
app-adminがセキュリティ属性ネームスペースapplicationsのみを管理し、グループdatabase-adminがdatabaseセキュリティ属性ネームスペースのみを管理できるようにします。からAllow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'