Stratégies Cloud Guard
Pour déterminer qui a accès à Oracle Cloud Guard, ainsi que le type d'accès pour chaque groupe d'utilisateurs, vous devez créer des stratégies.
Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources Cloud Guard. Pour tous les autres utilisateurs de Cloud Guard, vous devez créer des stratégies qui leur affectent les droits appropriés sur les ressources Cloud Guard.
Pour obtenir la liste complète des stratégies Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.
Types de ressource
Cloud Guard propose des types de ressource individuels et agrégés pour l'écriture de stratégies.
Vous pouvez utiliser des types de ressource agrégés pour écrire moins de stratégies. Par exemple, au lieu d'autoriser un groupe à gérer cloud-guard-detectors et cloud-guard-problems, vous pouvez disposer d'une stratégie permettant au groupe de gérer le type de ressource agrégé cloud-guard-family.
| Type de ressource agrégé | Types de ressource individuels |
|---|---|
cloud-guard-family |
|
Les API couvertes pour le type de ressource agrégé cloud-guard-family couvrent toutes les API répertoriées sous "Types de ressource individuels" dans le tableau précédent.
Par exemple :
allow group cloudguard-admins to manage cloud-guard-family in compartment <x>... revient à écrire 20 stratégies au format suivant :
allow group cloudguard-admins to manage <resource_type> in compartment <x>Si le groupe d'administrateurs Cloud Guard ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :
allow group <identity_domain_name>/cloudguard-admins to manage cloud-guard-family in compartment <x>Détails des combinaisons de verbe et de type de ressource
Tableaux des droits d'accès et des opérations d'API couvertes par chaque verbe pour Cloud Guard.
Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect > read > use > manage. Le signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun élément supplémentaire" n'indique aucun accès incrémentiel. Pour plus d'informations sur les droits d'accès dans Oracle Cloud Infrastructure, reportez-vous à Droits d'accès.
Les API couvertes pour le type de ressource cloud-guard-adhoc-query sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_ADHOC_QUERY_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_ADHOC_QUERY_READ |
|
|
|
|
||
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_ADHOC_QUERY_CREATE |
CreateAdhocQuery |
|
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-condition-metadata-types sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_CONDITION_METADATA_TYPES_INSPECT |
|
néant |
|
READ |
aucun élément supplémentaire | |
|
INSPECTER+ |
INSPECTER+ |
|
|
CG_CONDITION_METADATA_TYPES_READ |
GetCloudGuardConditionMetadataType |
|
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-config sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_CONFIG_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_CONFIG_READ |
|
néant |
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_CONFIG_UPDATE |
|
néant |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-coverage sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_COVERAGE_INSPECT |
|
néant |
|
READ |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire |
aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-data-mask-rules sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_DATA_MASK_RULE_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_DATA_MASK_RULE_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_DATA_MASK_RULE_UPDATE |
|
|
|
MANAGE |
néant |
|
|
USE + |
USE + |
néant |
|
CG_DATA_MASK_RULE_CREATE |
|
|
|
CG_DATA_MASK_RULE_DELETE |
|
|
Les API couvertes pour le type de ressource cloud-guard-data-sources sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_DATA_SOURCE_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_DATA_SOURCE_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_DATA_SOURCE_UPDATE |
|
|
|
MANAGE |
néant |
|
|
USE + |
USE + |
néant |
|
CG_DATA_SOURCE_CREATE |
|
|
|
CG_DATA_SOURCE_DELETE |
|
|
|
CG_DATA_SOURCE_MOVE |
|
|
Les API couvertes pour le type de ressource cloud-guard-detectors sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_DETECTOR_INSPECT |
|
néant |
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_DETECTOR_READ |
|
|
|
|
||
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-detector-recipes sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_DETECTOR_RECIPE_INSPECT |
|
néant |
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
| CG_DETECTOR_RECIPE_READ |
|
|
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_DETECTOR_RECIPE_UPDATE |
UpdateCloudGuardDetectorRecipe |
|
|
|
||
|
|
||
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_DETECTOR_RECIPE_CREATE |
|
|
|
CG_DETECTOR_RECIPE_DELETE |
|
|
Les API couvertes pour le type de ressource cloud-guard-detector-rule-definitions sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_DETECTOR_RULE_DEFINITION_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_DETECTOR_RULE_DEFINITION_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_DETECTOR_RULE_DEFINITION_UPDATE |
UpdateDetectorRuleDefinition |
|
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_DETECTOR_RULE_DEFINITION_CREATE |
|
|
|
CG_DETECTOR_RULE_DEFINITION_DELETE |
|
|
Les API couvertes pour le type de ressource cloud-guard-findings sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
INSPECT |
aucun élément supplémentaire | aucun élément supplémentaire |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
||
|
CG_FINDING_CREATE |
|
néant |
Les API couvertes pour le type de ressource cloud-guard-managed-lists sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_MANAGED_LIST_INSPECT |
|
néant |
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_MANAGED_LIST_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_MANAGED_LIST_UPDATE |
UpdateCloudGuardManagedList |
|
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_MANAGED_LIST_CREATE |
|
|
|
CG_MANAGED_LIST_DELETE |
|
|
|
CG_MANAGED_LIST_MOVE |
|
|
Les API couvertes pour le type de ressource cloud-guard-metadata sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_METADATA_INSPECT |
|
néant |
|
|
||
|
READ |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire |
aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-meta-data-sync sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
aucun élément supplémentaire | aucun élément supplémentaire |
|
néant |
néant |
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_METADATASYNC_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_METADATASYNC_UPDATE |
UpdateResourceSync |
|
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-problems sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_PROBLEM_INSPECT |
|
néant |
|
|
||
|
|
||
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_PROBLEM_READ |
|
|
|
|
||
|
|
||
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_PROBLEM_UPDATE |
UpdateCloudGuardBulkProblemStatus |
|
|
|
||
|
|
||
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-recommendations sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RECOMMENDATION_INSPECT |
|
néant |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-resource-profile sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RESOURCE_PROFILE_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_RESOURCE_PROFILE_READ |
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
USE |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire |
aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-cloud-guard-resource-types sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RESOURCE_TYPES_INSPECT |
|
néant |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-resource-view sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RESOURCE_VIEW_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_RESOURCE_VIEW_READ |
|
|
|
USE |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire |
aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-cloud-guard-responder-recipes sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RESPONDER_RECIPE_INSPECT |
|
néant |
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_RESPONDER_RECIPE_READ |
|
|
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_RESPONDER_RECIPE_UPDATE |
UpdateCloudGuardResponderRecipe |
|
|
|
||
|
|
||
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_RESPONDER_RECIPE_CREATE |
|
|
|
CG_RESPONDER_RECIPE_DELETE |
|
|
|
CG_RESPONDER_RECIPE_MOVE |
|
|
Les API couvertes pour le type de ressource cloud-guard-responder-executions sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RESPONDER_EXECUTION_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_RESPONDER_EXECUTION_READ |
|
|
|
|
||
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_RESPONDER_EXECUTION_UPDATE |
ExecuteCloudGuardResponderExecution |
|
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-risk-scores sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_RISK_SCORES_INSPECT |
|
néant |
|
|
||
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-saved-query sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_SAVED_QUERY_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_SAVED_QUERY_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_SAVED_QUERY_UPDATE |
UpdateSavedQuery |
|
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_SAVED_QUERY_CREATE |
|
|
|
CG_SAVED_QUERY_DELETE |
|
|
|
CG_SAVED_QUERY_MOVE |
|
|
Les API couvertes pour le type de ressource cloud-guard-schemas sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_SCHEMA_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_SCHEMA_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_SCHEMA_UPDATE |
UpdateSchema |
|
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_SCHEMA_CREATE |
|
|
|
CG_SCHEMA_DELETE |
|
|
Les API couvertes pour le type de ressource cloud-guard-security-scores sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_SECURITY_SCORES_INSPECT |
|
néant |
|
|
||
|
|
||
|
|
||
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-service-logging sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
INSPECT |
|
aucun élément supplémentaire |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_SERVICE_LOGGING_READ |
|
|
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_SERVICE_LOGGING_UPDATE |
UpdateServiceLogging |
|
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_SERVICE_LOGGING_CREATE |
|
|
|
CG_SERVICE_LOGGING_DELETE |
|
|
Les API couvertes pour le type de ressource cloud-guard-signals sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
aucun élément supplémentaire | aucun élément supplémentaire |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_SIGNAL_CREATE |
|
|
Les API couvertes pour le type de ressource cloud-guard-summary-event sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
aucun élément supplémentaire | aucun élément supplémentaire |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
aucun élément supplémentaire | aucun élément supplémentaire |
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_SUMMARY_EVENT_CREATE |
|
|
Les API couvertes pour le type de ressource cloud-guard-targets sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_TARGET_INSPECT |
|
néant |
|
|
||
|
|
||
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_TARGET_READ |
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
USE |
||
|
READ + |
READ + |
néant |
|
CG_TARGET_UPDATE |
UpdateCloudGuardTarget |
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_TARGET_CREATE |
|
|
|
CG_TARGET_DELETE |
|
|
|
|
||
|
|
||
Les API couvertes pour le type de ressource cloud-guard-user-preferences sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_USER_PREFERENCE_INSPECT |
|
néant |
|
READ |
aucun élément supplémentaire | aucun élément supplémentaire |
|
USE |
||
|
READ + |
READ + |
néant |
|
USE + |
USE + |
néant |
|
CG_USER_PREFERENCE_UPDATE |
|
|
|
MANAGE |
aucun élément supplémentaire | aucun élément supplémentaire |
Les API couvertes pour le type de ressource cloud-guard-work-requests sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
|
Droits d'accès |
API entièrement couvertes |
API partiellement couvertes |
|---|---|---|
|
INSPECT |
||
|
CG_WORK_REQUEST_INSPECT |
|
néant |
|
READ |
||
|
INSPECT + |
INSPECT + |
néant |
|
CG_WORK_REQUEST_READ |
|
|
|
|
||
|
|
||
|
USE |
aucun élément supplémentaire |
aucun élément supplémentaire |
|
MANAGE |
||
|
USE + |
USE + |
néant |
|
CG_WORK_REQUEST_DELETE |
|
|
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
GetSecurityPolicy |
SECURITY_RECIPE_READ |
Les API couvertes pour le type de ressource security-recipe sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
| Verbe | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
inspect |
SECURITY_RECIPE_INSPECT |
ListSecurityRecipes |
néant |
read |
|
GetSecurityRecipe |
néant |
use |
|
UpdateSecurityRecipe |
néant |
manage |
|
|
néant |
Les API couvertes pour le type de ressource security-zone sont répertoriées ici. Les API sont affichées par ordre alphabétique pour chaque droit d'accès.
| Verbe | Droits d'accès | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
inspect |
SECURITY_ZONE_INSPECT |
ListSecurityZones |
néant |
read |
|
GetSecurityZone |
néant |
use |
|
|
néant |
manage |
|
|
néant |
Droits d'accès requis pour chaque opération d'API
Tableaux répertoriant les opérations d'API dans un ordre logique, regroupées par type de ressource.
Les types de ressource sont répertoriés dans Types de ressource, dans la colonne "Types de ressource individuels".
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_ADHOC_QUERY_INSPECT |
|
|
CG_ADHOC_QUERY_READ |
|
|
CG_ADHOC_QUERY_READ |
|
|
CG_ADHOC_QUERY_READ |
|
|
CG_ADHOC_QUERY_CREATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_CONDITION_METADATA_TYPES_INSPECT |
|
|
CG_CONDITION_METADATA_TYPES_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_CONFIG_INSPECT CG_CONFIG_READ |
|
|
CG_CONFIG_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_COVERAGE_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_DATA_MASK_RULE_CREATE |
|
|
CG_DATA_MASK_RULE_DELETE |
|
|
CG_DATA_MASK_RULE_READ |
|
|
CG_DATA_MASK_RULE_INSPECT |
|
|
CG_DATA_MASK_RULE_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_DATA_SOURCE_MOVE |
|
|
CG_DATA_SOURCE_CREATE |
|
|
CG_DATA_SOURCE_DELETE |
|
|
CG_CONFIG_READ |
|
|
CG_DATA_SOURCE_INSPECT |
|
|
CG_DATA_SOURCE_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_DETECTOR_INSPECT |
|
|
CG_DETECTOR_INSPECT |
|
|
CG_DETECTOR_READ |
|
|
CG_DETECTOR_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_DETECTOR_RECIPE_INSPECT |
GetCloudGuardDetectorRecipe |
CG_DETECTOR_RECIPE_READ |
|
|
CG_DETECTOR_RECIPE_CREATE |
|
|
CG_DETECTOR_RECIPE_UPDATE |
|
|
CG_DETECTOR_RECIPE_DELETE |
|
|
CG_DETECTOR_RECIPE_MOVE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_DETECTOR_RULE_DEFINITION_CREATE |
|
|
CG_DETECTOR_RULE_DEFINITION_DELETE |
|
|
CG_DETECTOR_RULE_DEFINITION_READ |
|
|
CG_DETECTOR_RULE_DEFINITION_INSPECT |
|
|
CG_DETECTOR_RULE_DEFINITION_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_FINDING_CREATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_MANAGED_LIST_INSPECT |
|
|
CG_MANAGED_LIST_INSPECT |
|
|
CG_MANAGED_LIST_READ |
|
|
CG_MANAGED_LIST_CREATE |
|
|
CG_MANAGED_LIST_UPDATE |
|
|
CG_MANAGED_LIST_DELETE |
|
|
CG_MANAGED_LIST_MOVE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_METADATA_INSPECT |
|
|
CG_METADATA_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_METADATASYNC_UPDATE |
|
|
CG_METADATASYNC_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_PROBLEM_INSPECT |
|
|
CG_PROBLEM_INSPECT |
|
|
CG_PROBLEM_INSPECT |
|
|
CG_PROBLEM_READ |
|
|
CG_PROBLEM_READ |
|
|
CG_PROBLEM_READ |
|
|
CG_PROBLEM_READ |
|
|
CG_PROBLEM_UPDATE |
|
|
CG_PROBLEM_UPDATE |
|
|
CG_PROBLEM_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RECOMMENDATION_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESOURCE_PROFILE_READ |
|
|
CG_RESOURCE_PROFILE_READ |
|
|
CG_RESOURCE_PROFILE_READ |
|
|
CG_RESOURCE_PROFILE_INSPECT |
|
|
CG_RESOURCE_PROFILE_READ |
|
|
CG_RESOURCE_PROFILE_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESOURCE_TYPES_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESOURCE_VIEW_INSPECT |
|
|
CG_RESOURCE_VIEW_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESPONDER_RECIPE_INSPECT |
|
|
CG_RESPONDER_RECIPE_INSPECT |
|
|
CG_RESPONDER_RECIPE_READ |
|
|
CG_RESPONDER_RECIPE_READ |
|
|
CG_RESPONDER_RECIPE_CREATE |
|
|
CG_RESPONDER_RECIPE_UPDATE |
|
|
CG_RESPONDER_RECIPE_UPDATE |
|
|
CG_RESPONDER_RECIPE_UPDATE |
|
|
CG_RESPONDER_RECIPE_DELETE |
|
|
CG_RESPONDER_RECIPE_MOVE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESPONDER_RULE_INSPECT |
|
|
CG_RESPONDER_RULE_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RESPONDER_EXECUTION_INSPECT |
|
|
CG_RESPONDER_EXECUTION_READ |
|
|
CG_RESPONDER_EXECUTION_READ |
|
|
CG_RESPONDER_EXECUTION_READ |
|
|
CG_RESPONDER_EXECUTION_UPDATE |
|
|
CG_RESPONDER_EXECUTION_UPDATE |
|
|
CG_RESPONDER_EXECUTION_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_RISK_SCORES_INSPECT |
|
|
CG_RISK_SCORES_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SAVED_QUERY_MOVE |
|
|
CG_SAVED_QUERY_CREATE |
|
|
CG_SAVED_QUERY_DELETE |
|
|
CG_SAVED_QUERY_READ |
|
|
CG_SAVED_QUERY_INSPECT |
|
|
CG_SAVED_QUERY_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SCHEMA_CREATE |
|
|
CG_SCHEMA_DELETE |
|
|
CG_SCHEMA_READ |
|
|
CG_SCHEMA_INSPECT |
|
|
CG_SCHEMA_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SECURITY_SCORES_INSPECT |
|
|
CG_SECURITY_SCORES_INSPECT |
|
|
CG_SECURITY_SCORES_INSPECT |
|
|
CG_SECURITY_SCORES_INSPECT |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SERVICE_LOGGING_CREATE |
|
|
CG_SERVICE_LOGGING_DELETE |
|
|
CG_SERVICE_LOGGING_READ |
|
|
CG_SERVICE_LOGGING_CREATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SIGNAL_CREATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_SUMMARY_EVENT_CREATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_TARGET_INSPECT |
|
|
CG_TARGET_INSPECT |
|
|
CG_TARGET_INSPECT |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_READ |
|
|
CG_TARGET_CREATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_UPDATE |
|
|
CG_TARGET_DELETE |
|
|
CG_TARGET_DELETE |
|
|
CG_TARGET_DELETE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_USER_PREFERENCE_INSPECT |
|
|
CG_USER_PREFERENCE_UPDATE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
|
|
CG_WORK_REQUEST_DELETE |
|
|
CG_WORK_REQUEST_READ |
|
|
CG_WORK_REQUEST_READ |
|
|
CG_WORK_REQUEST_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
GetSecurityPolicy |
SECURITY_RECIPE_READ |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
ListSecurityRecipes |
SECURITY_RECIPE_INSPECT |
GetSecurityRecipe |
SECURITY_RECIPE_READ |
CreateSecurityRecipe |
SECURITY_RECIPE_CREATE |
UpdateSecurityRecipe |
SECURITY_RECIPE_UPDATE |
DeleteSecurityRecipe |
SECURITY_RECIPE_DELETE |
|
Opération d'API |
Droits d'accès requis pour utiliser l'opération |
|---|---|
ListSecurityZones |
SECURITY_ZONE_INSPECT |
GetSecurityZone |
SECURITY_ZONE_READ |
CreateSecurityZone |
SECURITY_ZONE_CREATE |
UpdateSecurityZone |
SECURITY_ZONE_UPDATE |
DeleteSecurityZone |
SECURITY_ZONE_DELETE |
AddCompartment |
SECURITY_ZONE_ATTACH |
RemoveCompartment |
SECURITY_ZONE_DETACH |
Création d'une stratégie
Etapes de création d'une stratégie pour prendre en charge les appels d'API REST Cloud Guard.
Pour créer une stratégie, procédez comme suit :
Pour plus d'informations sur la création de stratégies, reportez-vous à Fonctionnement des stratégies et à Référence de stratégie.
Exemples de stratégie
Découvrez des exemples de stratégies Cloud Guard IAM.
-
Autorisez les utilisateurs du groupe
SecurityAdminsà créer, à mettre à jour et à supprimer toutes les ressources Cloud Guard dans l'ensemble de la location :Allow group SecurityAdmins to manage cloud-guard-family in tenancy -
Autorisez les utilisateurs du groupe
SecurityAdminsà créer, à mettre à jour et à supprimer toutes les zones de sécurité et recettes dans l'ensemble de la location :Allow group SecurityAdmins to manage security-zone in tenancy Allow group SecurityAdmins to manage security-recipe in tenancy -
Autorisez les utilisateurs du groupe
SecurityAuditorsà visualiser les zones de sécurité et les recettes dans le compartimentSecurityArtifacts:Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts
Afin d'obtenir d'autres exemples de stratégies, reportez-vous à Instructions de stratégie pour les utilisateurs.