ネットワーク・ファイアウォールIAMポリシー
Oracle Cloud Infrastructure Identity and Access Management (IAM)でセキュリティ・ポリシーを作成します。
デフォルトでは、Administratorsグループのユーザーのみがネットワーク・ファイアウォール・サービスのすべてのリソースと機能にアクセスできます。Network Firewallのリソースおよび機能に対する管理者以外のユーザーのアクセスを制御するには、IAMグループを作成し、その後にユーザー・グループ・アクセス権を付与するポリシーを記述します。
Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスを参照してください。
リソース・タイプ
ネットワーク・ファイアウォールには、ポリシーを記述するための集約リソース・タイプと個別リソース・タイプの両方が用意されています。
集約リソース・タイプを使用すると、記述するポリシーの数を少なくできます。たとえば、グループにnetwork-firewallおよびnetwork-firewall-policyの管理を許可するかわりに、グループに集約リソース・タイプnetwork-firewall-familyの管理を許可するポリシーを記述できます。
| 集約リソース・タイプ | 個々のリソース・タイプ |
|---|---|
network-firewall-family |
|
集約リソース・タイプnetwork-firewall-familyでカバーされるAPIは、work-requestsのAPIをカバーしています。
サポートされている変数
Oracle Cloud Infrastructure Network Firewallでサポートされている変数を確認します。
ネットワーク・ファイアウォールでは、すべての一般的な変数をサポートしています。すべてのリクエストの一般的な変数を参照してください。
動詞+リソース・タイプの組合せの詳細
ポリシーの作成には、様々なOracle Cloud Infrastructure動詞およびリソース・タイプを使用できます。
次の表に、ネットワーク・ファイアウォールの各動詞でカバーされている権限およびAPI操作を示します。アクセスのレベルは、inspectからread、use、manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_INSPECT | ListNetworkFirewalls |
なし |
| read |
INSPECT+ NETWORK_FIREWALL_READ |
INSPECT+GetNetworkFirewall |
なし |
| use |
READ+ NETWORK_FIREWALL_UPDATE NETWORK_FIREWALL_MOVE |
READ+
|
UpdateNetworkFirewall (ファイアウォール・ポリシーを変更するにはuse network-firewall-policy、関連付けられたNSGを変更するにはuse network-security-groupsも必要です。) |
| manage |
USE+ NETWORK_FIREWALL_CREATE NETWORK_FIREWALL_DELETE |
また、 ファイアウォールに関連付けられているネットワーク・セキュリティ・グループ(NSG)がある場合は、 DeleteNetworkFirewall ファイアウォールに関連付けられているネットワーク・セキュリティ・グループ(NSG)がある場合は、 前述のネットワーク操作は、 |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | NETWORK_FIREWALL_POLICY_INSPECT | ListNetworkFirewallPolicies |
なし |
| read |
INSPECT+ NETWORK_FIREWALL_POLICY_READ |
INSPECT+GetNetworkFirewallPolicy |
なし |
| use |
READ+ NETWORK_FIREWALL_POLICY_UPDATE NETWORK_FIREWALL_POLICY_MOVE |
READ+
|
UpdateNetworkFirewallPolicy (関連付けられているファイアウォールを変更するにはuse network-firewallも必要です。) |
| manage |
USE+ NETWORK_FIREWALL_POLICY_CREATE NETWORK_FIREWALL_POLICY_DELETE |
|
なし |
API操作ごとに必要な権限
次の表に、Oracle Cloud Infrastructure Network FirewallのAPI操作を、リソース・タイプ別にグループ化して論理的な順序で示します。
この表は、API操作を論理的な順序で示したもので、リソース・タイプと、network-firewallおよびnetwork-firewall-policyに必要な権限でグループ化されています:
| API操作 | 権限 |
|---|---|
ListNetworkFirewalls |
NETWORK_FIREWALL_INSPECT |
CreateNetworkFirewall |
NETWORK_FIREWALL_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + VNIC_ASSIGN(subnetCompartment) |
GetNetworkFirewall |
NETWORK_FIREWALL_READ |
UpdateNetworkFirewall |
NETWORK_FIREWALL_UPDATE + NETWORK_FIREWALL_POLICY_READ (ポリシー・アソシエーションを更新する場合) + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (関連付けられたNSGを更新する場合) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (NSGアソシエーションを更新する場合) |
DeleteNetworkFirewall |
NETWORK_FIREWALL_DELETE + VNIC_DELETE + SUBNET_DETACH + NETWORK_SECURITY_GROUP_UPDATE_MEMBERS (関連付けられたNSGを更新する場合) + VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP (NSGアソシエーションを更新する場合) |
ChangeNetworkFirewallCompartment |
NETWORK_FIREWALL_MOVE |
ListNetworkFirewallPolicies |
NETWORK_FIREWALL_POLICY_INSPECT |
CreateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_CREATE |
GetNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_READ |
UpdateNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_UPDATE + NETWORK_FIREWALL_UPDATE |
DeleteNetworkFirewallPolicy |
NETWORK_FIREWALL_POLICY_DELETE |
ChangeNetworkFirewallPolicyCompartment |
NETWORK_FIREWALL_POLICY_MOVE |
ネットワーク・ファイアウォール・サービスのIAMポリシーの作成
ネットワーク・ファイアウォール・サービスのIdentity and Access Management (IAM)ポリシーを作成する方法を学習します。
ユーザーのグループのポリシーを作成するには、IAMグループの名前を知っている必要があります。
ポリシーを作成するには:
- コンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」に移動し、「アイデンティティ」で「ポリシー」を選択します。
- 「ポリシーの作成」を選択します。
- ポリシーの名前と説明(オプション)を入力します。
- ポリシーを作成するコンパートメントを選択します。
- 「手動エディタの表示」を選択します。次に、必要なポリシー・ステートメントを入力します。
- (オプション)このポリシーを作成した後、「ポリシーの作成」ページに留まるには、「別のポリシーの作成」を選択します。
- 「作成」を選択します。
ポリシーの仕組み、ポリシー構文およびポリシー・リファレンスも参照してください。
ネットワーク・ファイアウォール・サービスの一般的なIAMポリシー
このIAMポリシーを使用して、Network Firewallリソースを作成および管理します。
ユーザー・グループにファイアウォールおよびファイアウォール・ポリシーの作成、変更および削除を許可します
アクセスのタイプ:ファイアウォールまたはファイアウォール・ポリシーを作成、変更または削除する権限。ファイアウォールまたはファイアウォール・ポリシーの管理機能には、それらを作成、更新および削除する権限が含まれます。
ポリシーを作成する場所: ファイアウォール・リソースを作成、変更または削除する権限がポリシー継承を介してすべてのコンパートメントに付与されるようにするため、テナンシ。特定のコンパートメント内のファイアウォールに範囲を減らすには、テナンシのかわりにコンパートメントを指定します。
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>