ゼロ・トラスト・パケット・ルーティングIAMポリシー

Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスを使用して、Zero Trust Packet Routing (ZPR)サービスへのアクセスを制御するポリシーを作成します。

Networking and ComputeのIAMポリシーの詳細は、コア・サービスの詳細を参照してください。

個別リソース・タイプ

zpr-policy

zpr-security-attribute

サポートされている変数

ゼロ・トラスト・パケット・ルーティングでは、すべての一般的な変数と、ここにリストされた変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、「動詞+リソース・タイプの組合せの詳細」を参照してください。


変数	変数タイプ	コメント
`target.security-attribute-namespace.name`	文字列	この変数を使用して、セキュリティ属性ネームスペースの読取り、更新、削除または移動のリクエストに応じて特定のセキュリティ属性ネームスペースに対する操作を許可するか、セキュリティ属性ネームスペースの作業リクエストに関連する情報を表示するかを制御します。
`target.security-attribute-namespace.id`	エンティティ	この変数は、security-attribute-namespacesリソース・タイプの権限を付与するステートメントでのみサポートされます。

動詞+リソース・タイプの組合せの詳細

アクセスのレベルは、inspectからread、use、manageの順に累積します。

表のセルにあるプラス記号(+)は、前のセルと比較してアクセス権が増えていることを示し、「追加なし」はアクセス権が増えていないことを示します。

たとえば、zpr-policyリソース・タイプに対する動詞readには、動詞inspectと同じ権限およびAPI操作が含まれ、GetZprPolicy API操作も追加されます。同様に、zpr-policyリソース・タイプの動詞manageでは、use権限と比較してさらに多くの権限が許可されています。zpr-policyリソース・タイプの場合、動詞manageには、動詞useと同じ権限およびAPI操作に加えて、ZPR_POLICY_CREATEおよびZPR_POLICY_DELETE権限、および適用可能なAPI操作(CreateZprPolicyおよびDeleteZprPolicy)が含まれます。

zprポリシー


動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
inspect	ZPR_POLICY_INSPECT	`ListZprPolicies` `ListZprPolicyWorkRequests`	指定しない
読取り	INSPECT + ZPR_POLICY_READ	INSPECT + `GetZprPolicy` `GetZprPolicyWorkRequest` `ListZprPolicyWorkRequestErrors` `ListZprPolicyWorkRequestLogs`	指定しない
使用	READ + ZPR_POLICY_UPDATE	`UpdateZprPolicy`	指定しない
管理	USE + ZPR_POLICY_CREATE ZPR_POLICY_DELETE	USE + `CreateZprPolicy` `DeleteZprPolicy`	指定しない

zpr構成


動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
inspect			指定しない
読取り	INSPECT + ZPR_CONFIGURATION_READ	INSPECT + `GetConfiguration` `GetZprConfigurationWorkRequest` `ListZprConfigurationWorkRequests` `ListZprConfigurationWorkRequestErrors` `ListZprConfigurationWorkRequestLogs`	指定しない
使用	READ + ZPR_CONFIGURATION_UPDATE	`UpdateConfiguration`	指定しない
管理	USE + ZPR_CONFIGURATION_CREATE ZPR_CONFIGURATION_DELETE	USE + `CreateConfiguration` `DeleteConfiguration`	指定しない

security-attribute- ネームスペース


動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
inspect	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT	`ReadSecurityAttributeNamespace` `ReadSecurityAttribute` `SecurityAttributeWorkRequest`	指定しない
読取り	INSPECT + SECURITY_ATTRIBUTE_NAMESPACE_READ	INSPECT + `ReadSecurityAttributeNamespace` `ReadSecurityAttribute`	指定しない
使用	READ + SECURITY_ATTRIBUTE_NAMESPACE_USE		指定しない
管理	USE + SECURITY_ATTRIBUTE_NAMESPACE_CREATE SECURITY_ATTRIBUTE_NAMESPACE_DELETE SECURITY_ATTRIBUTE_NAMESPACE_MOVE SECURITY_ATTRIBUTE_NAMESPACE_UPDATE ZPR_CONFIGURATION_DELETE	USE + `CreateSecurityAttributeNamespace` `DeleteSecurityAttributeNamespace` `CascadeDeleteSecurityAttributeNamespace` `DeleteSecurityAttribute` `SecurityAttributeNamespace`の場合は`ChangeCompartment` `UpdateSecurityAttributeNamespace` `CreateSecurityAttribute` `UpdateSecurityAttribute`	指定しない

API操作ごとに必要な権限

次の各項では、ゼロ信頼パケット・ルーティングAPIおよびセキュリティ属性API操作を示します。

Zero Trust Packet Routing API操作

次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。

権限の詳細は、権限を参照してください。


API操作	操作の使用に必要な権限
`ListZprPolicies` `ListZprPolicyWorkRequests`	ZPR_POLICY_INSPECT
`CreateZprPolicy`	ZPR_POLICY_CREATE
`GetZprPolicy`	ZPR_POLICY_READ
`GetZprPolicyWorkRequest`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestErrors`	ZPR_POLICY_READ
`ListZprPolicyWorkRequestLogs`	ZPR_POLICY_READ
`UpdateZprPolicy`	ZPR_POLICY_UPDATE
`DeleteZprPolicy`	ZPR_POLICY_DELETE
`CreateConfiguration`	ZPR_CONFIGURATION_CREATE
`GetConfiguration`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequests`	ZPR_CONFIGURATION_READ
`GetZprConfigurationWorkRequest`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestErrors`	ZPR_CONFIGURATION_READ
`ListZprConfigurationWorkRequestLogs`	ZPR_CONFIGURATION_READ
`UpdateConfiguration`	ZPR_CONFIGURATION_UPDATE
`DeleteConfiguration`	ZPR_CONFIGURATION_DELETE

セキュリティ属性API操作

次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。

権限の詳細は、権限を参照してください。


API操作	操作の使用に必要な権限
`CreateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_CREATE
`DeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`CascadeDeleteSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`DeleteSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_DELETE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`SecurityAttributeWorkRequest`	SECURITY_ATTRIBUTE_NAMESPACE_INSPECT
`ChangeSecurityAttributeNamespaceCompartment`	SECURITY_ATTRIBUTE_NAMESPACE_MOVE
`ReadSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`ReadSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_READ
`UpdateSecurityAttributeNamespace`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`CreateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_UPDATE
`UpdateSecurityAttribute`	SECURITY_ATTRIBUTE_NAMESPACE_USE

ポリシーの例

ゼロ・トラスト・パケット・ルーティングIAMポリシーについて学習するには、次の例を使用します。

Zero Trust Packet Routing (ZPR)サービスを使用するには、他のOracle Cloud Infrastructureリソースに対して次の権限が必要です:

コンピュート・インスタンスの読取り
データベース・リソースの読取り
作業リクエストの検査

詳細は、「コア・サービスの詳細」(ネットワーキングおよびコンピュートを含む)を参照してください。

ZPR IAMポリシーの例

グループSecurityAdminsのユーザーに、テナント全体のすべてのZPRポリシーの作成、更新および削除を許可します:

Allow group SecurityAdmins to manage zpr-configuration in tenancy
Allow group SecurityAdmins to manage security-attribute-namespace in tenancy
Allow group SecurityAdmins to manage zpr-policy in tenancy

グループSecurityAuditorsのユーザーがテナンシ内のすべてのZPRリソースを表示できるようにします:

Allow group SecurityAuditors to read zpr-configuration in tenancy
Allow group SecurityAuditors to read zpr-policy in tenancy
Allow group SecurityAuditors to read security-attribute-namespace in tenancy

グループapp-adminがセキュリティ属性ネームスペースapplicationsのみを管理し、グループdatabase-adminがdatabaseセキュリティ属性ネームスペースのみを管理できるようにします。

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'applications'

から

Allow group app-admin to manage security-attribute-namespace where target.security-attribute-namespace.name = 'database'