WAFサービスの詳細
このトピックでは、WAASサービスへのアクセスを制御するポリシーの書込みの詳細について説明します。
集約リソース・タイプ
waas-family
個々のリソース・タイプ
waas-policy
waas-certificate
waas-work-request
waas-metering
waas-custom-protection-rule
waas-address-list
http-redirects
コメント
<verb> waasを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
waasに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
WAFサービスでは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数がサポートされています。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.waas-policy.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のWAASポリシーへのアクセスを制御します。 |
target.waf-rule-key
|
文字列 | この変数を使用して、名前別に特定のWAFルールへのアクセスを制御します。 |
target.waas-work-request.id
|
エンティティ(OCID) |
WAAS作業リクエストのOCID。 |
target.waas-policy-certificate.id
|
エンティティ(OCID) |
WAASポリシー内に構成されたSSL証明書のOCID。 |
target.certificate.destination-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.certificate.source-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-policy.destination-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-policy.source-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-custom-protection-rule.id
|
エンティティ(OCID) |
カスタム保護ルールのOCID。 |
target.waas-custom-protection-rule.source-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-custom-protection-rule.destination-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-address-list.id
|
エンティティ(OCID) |
アドレス・リストのOCID。 |
target.waas-address-list.source-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.waas-address-list.destination-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.http-redirects.id
|
エンティティ(OCID) |
HTTPリダイレクトのOCID。 |
target.http-redirects.source-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
target.http-redirects.destination-compartment.id
|
エンティティ(OCID) |
コンパートメントのOCID。 |
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、waas-policyリソース・タイプのuseおよびmanage動詞は、read動詞と比較して追加の権限またはAPI操作に対応しません。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | WAAS_POLICY_INSPECT |
|
なし |
| read | INSPECT + WAAS_POLICY_READ |
INSPECT +
|
なし |
| use | READ + WAAS_POLICY_UPDATE |
READ +
|
なし |
| manage | USE + WAAS_POLICY_CREATE WAAS_POLICY_DELETE WAAS_POLICY_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | WAAS_CERTIFICATE_INSPECT |
ListCertificates
|
なし |
| read | INSPECT + WAAS_CERTIFICATE_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + WAAS_CERTIFICATE_CREATE WAAS_CERTFICATE_DELETE WAAS_CERTFICATE_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | WAAS_WORK_REQUEST_INSPECT |
ListWorkRequests
|
なし |
| read | INSPECT + WAAS_WORK_REQUEST_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + WAAS_WORK_REQUEST_DELETE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| read | WAAS_METERING_READ |
GetWafReport
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | WAAS_CUSTOM_PROTECTION_RULE_INSPECT |
ListCustomProtectionRules
|
なし |
| read | INSPECT + WAAS_CUSTOM_PROTECTION_RULE_READ |
INSPECT +
|
なし |
| use | READ + WAAS_CUSTOM_PROTECTION_RULE_UPDATE WAAS_CUSTOM_PROTECTION_RULE_USE |
READ +
|
なし |
| manage | USE + WAAS_CUSTOM_PROTECTION_RULE_CREATE WAAS_CUSTOM_PROTECTION_RULE_DELETE WAAS_CUSTOM_PROTECTION_RULE_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | WAAS_ADDRESS_LIST_INSPECT |
ListAddressLists
|
なし |
| read | INSPECT + WAAS_ADDRESS_LIST_READ |
INSPECT +
|
なし |
| use | READ + WAAS_ADDRESS_LIST_UPDATE WAAS_ADDRESS_LIST_USE |
READ +
|
なし |
| manage | USE + WAAS_ADDRESS_LIST_CREATE WAAS_ADDRESS_LIST_DELETE WAAS_ADDRESS_LIST_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | HTTPREDIRECT_INSPECT |
ListHttpRedirects
|
なし |
| read | INSPECT + HTTPREDIRECT_READ |
INSPECT +
|
なし |
| use | READ + HTTPREDIRECT_UPDATE |
READ +
|
なし |
| manage | USE + HTTPREDIRECT_CREATE HTTPREDIRECT_DELETE HTTPREDIRECT_MOVE |
USE +
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
CreateWaasPolicy
|
WAAS_POLICY_CREATE |
ListWaasPolcies
|
WAAS_POLICY_INSPECT |
GetWaasPolicy
|
WAAS_POLICY_READ |
UpdateWaasPolicy
|
WAAS_POLICY_UPDATE |
DeleteWaasPolicy
|
WAAS_POLICY_DELETE |
ChangeWaasPolicyCompartment
|
WAAS_POLICY_MOVE |
ListReports
|
WAAS_POLICY_INSPECT |
ListWafReports
|
WAAS_POLICY_INSPECT |
GetWafTraffic
|
WAAS_POLICY_READ |
GetWafBlocked
|
WAAS_POLICY_READ |
GetWafRequests
|
WAAS_POLICY_READ |
GetWafSettings
|
WAAS_POLICY_READ |
UpdateWafSettings
|
WAAS_POLICY_UPDATE |
GetAccessRules
|
WAAS_POLICY_READ |
UpdateAccessRules
|
WAAS_POLICY_UPDATE |
GetCaptchas
|
WAAS_POLICY_READ |
UpdateCaptchas
|
WAAS_POLICY_UPDATE |
GetDeviceFingerprintChallenge
|
WAAS_POLICY_READ |
UpdateDeviceFingerprintChallenge
|
WAAS_POLICY_UPDATE |
GetHumanInteractionChallenge
|
WAAS_POLICY_READ |
UpdateHumanInteractionChallenge
|
WAAS_POLICY_UPDATE |
GetJsChallenge
|
WAAS_POLICY_READ |
UpdateJsChallenge
|
WAAS_POLICY_UPDATE |
GetIpRateLimiting
|
WAAS_POLICY_READ |
UpdateIpRateLimiting
|
WAAS_POLICY_UPDATE |
GetGoodBots
|
WAAS_POLICY_READ |
UpdateGoodBots
|
WAAS_POLICY_UPDATE |
GetWafWhitelists
|
WAAS_POLICY_READ |
UpdateWafWhitelists
|
WAAS_POLICY_UPDATE |
GetWafRecommendations
|
WAAS_POLICY_READ |
AcceptWafRecommendations
|
WAAS_POLICY_UPDATE |
ListWafRules
|
WAAS_POLICY_INSPECT |
UpdateWafRuleActions
|
WAAS_POLICY_UPDATE |
GetWafRule
|
WAAS_POLICY_READ |
GetThreatFeeds
|
WAAS_POLICY_READ |
UpdateThreatFeedAction
|
WAAS_POLICY_UPDATE |
GetAlerts
|
WAAS_POLICY_READ |
ListWorkRequests
|
WAAS_WORK_REQUEST_INSPECT |
ListWaasOriginRequestCidrs
|
WAAS_POLICY_INSPECT |
GetWorkRequestDetails
|
WAAS_WORK_REQUEST_READ |
DeleteWorkRequest
|
WAAS_WORK_REQUEST_DELETE |
CreateCertificate
|
WAAS_CERTIFICATE_CREATE |
ListCertificates
|
WAAS_CERTIFICATE_INSPECT |
GetCertificate
|
WAAS_CERTIFICATE_READ |
DeleteCertificate
|
WAAS_CERTIFICATE_DELETE |
ChangeCertificateCompartment
|
WAAS_CERTIFICATE_MOVE |
GetWafReport
|
WAAS_METERING_READ |
CreateCustomProtectionRule
|
WAAS_CUSTOM_PROTECTION_RULE_CREATE |
ListCustomProtectionRules
|
WAAS_CUSTOM_PROTECTION_RULE_INSPECT |
GetCustomProtectionRule
|
WAAS_CUSTOM_PROTECTION_RULE_READ |
UpdateCustomProtectionRule
|
WAAS_CUSTOM_PROTECTION_RULE_UPDATE |
DeleteCustomProtectionRule
|
WAAS_CUSTOM_PROTECTION_RULE_DELETE |
ChangeCustomProtectionRuleCompartment
|
WAAS_CUSTOM_PROTECTION_RULE_MOVE |
CreateAddressList
|
WAAS_ADDRESS_LIST_CREATE |
GetAddressList
|
WAAS_ADDRESS_LIST_READ |
ListAddressLists
|
WAAS_ADDRESS_LIST_INSPECT |
ChangeAddressListCompartment
|
WAAS_ADDRESS_LIST_MOVE |
UpdateAddressList
|
WAAS_ADDRESS_LIST_UPDATE |
DeleteAddressList
|
WAAS_ADDRESS_LIST_DELETE |
ListHttpRedirects
|
HTTPREDIRECT_INSPECT |
GetHttpRedirect
|
HTTPREDIRECT_READ |
CreateHttpRedirect
|
HTTPREDIRECT_CREATE |
UpdateHttpRedirect
|
HTTPREDIRECT_UPDATE |
DeleteHttpRedirect
|
HTTPREDIRECT_DELETE |
ChangeHttpRedirectCompartment
|
HTTPREDIRECT_MOVE |