NSGのセキュリティ・ルールの管理
仮想クラウド・ネットワーク(VCN)内のネットワーク・セキュリティ・グループ(NSG)のセキュリティ・ルールを追加、編集または削除します。
NSGの作成後、セキュリティ・ルールを追加または削除して、グループ内のVNICが必要とするイングレスおよびエグレス・トラフィックのタイプを許可できます。
前述のネットワーク・セキュリティ・グループの概要に示すように、特定のNSGのセキュリティ・ルールでソース(イングレス・ルールの場合)または宛先(エグレス・ルールの場合)としてNSGを指定できます。2つのNSGが同じVCN内にある必要があります。たとえば、NSG1とNSG2の両方が同じVCNに属する場合は、NSG2をソースとしてリストするNSG1にイングレス・ルールを追加できます。他のユーザーがNSG2を削除すると、ルールは無効になります。REST APIでは、SecurityRuleオブジェクトでisValidブール値を使用してそのステータスを伝達しています。
NSGのVNICメンバーシップを管理する場合、これはNSG自体ではなく親リソースの作業の一部として実行します。詳細は、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
NSGセキュリティ・ルールを追加するには、network NSG rules addコマンドおよび必要なパラメータを使用します:
oci network nsg rules add --nsg-id nsg-ocid ... [OPTIONS]NSGセキュリティ・ルールを更新するには、network NSG rules updateコマンドおよび必須パラメータを使用します:
oci network nsg rules update --nsg-id nsg-ocid ... [OPTIONS]NSGセキュリティ・ルールを削除するには、network NSG rules removeコマンドおよび必要なパラメータを使用します:
oci network nsg rules remove --nsg-id nsg-ocid ... [OPTIONS]CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。
セキュリティ・リストを熟知していて、REST APIを使用している場合は、既存のセキュリティ・ルールを更新するためのモデルは、セキュリティ・リストとNSGでは異なることに注意してください。NSGを使用する場合、指定されたグループ内の各ルールには一意のOracle割当て識別子があります(例: 04ABEC)。
UpdateNetworkSecurityGroupSecurityRulesをコールするときは、更新する特定のルールのIDを指定します。一方で、セキュリティ・リストを使用する場合、ルールに一意の識別子はありません。UpdateSecurityListをコールする場合、コールで更新されないルールも含め、ルールのリスト全体を渡す必要があります。AddNetworkSecurityGroupSecurityRules操作を実行して、NSGセキュリティ・ルールを追加します。
UpdateNetworkSecurityGroupSecurityRules操作を実行して、NSGセキュリティ・ルールを更新します。
RemoveNetworkSecurityGroupSecurityRules操作を実行して、NSGセキュリティ・ルールを削除します。