Oracle Cloud Infrastructureドキュメント

セキュリティ属性

security attributeは、Zero Trust Packet Routing (ZPR)ポリシーで参照して、サポートされているリソースへのアクセスを制御できるラベルです。

ZPRを有効にすると、oracle-zprセキュリティ属性ネームスペースにsensitivityというセキュリティ属性の例が作成されます。sensitivityセキュリティ属性を変更または削除できます。

セキュリティ属性の使用に必要な権限

リソースのセキュリティ属性を適用、更新または削除するには、ユーザーにリソースに対する権限およびセキュリティ属性ネームスペースを使用する権限が付与されている必要があります。

リソースのセキュリティ属性を適用、更新または削除するには、セキュリティ属性ネームスペースに対するuseアクセス権をユーザーに付与する必要があります。たとえば、publicセキュリティ属性ネームスペースへのUserGroupAアクセスを許可するには:

Allow UserGroupA to read security attribute namespaces in tenancy where target.security-attribute-namespace.name='public'

テナンシ内のすべてのセキュリティ属性ネームスペースに対するUserGroupAアクセスを許可するには: 

Allow UserGroupA to read security-attribute-namespaces in tenancy

セキュリティ属性ネームスペースを操作する権限に加えて、ユーザーには、セキュリティ属性を適用または削除するためにリソースを更新する権限も必要です。多くのリソースでは、更新権限はuse動詞で付与されます。たとえば、CompartmentAのインスタンスを使用できるユーザーは、CompartmentAのインスタンスに対してセキュリティ属性を適用、更新または削除することもできます。

allow UserGroupA to use instance-family in tenancy

一部のリソースでは、use動詞に更新権限は含まれていません。グループにこれらのリソースのセキュリティ属性の適用、更新または削除を許可するが、管理の完全な権限を付与しない場合は、manage動詞の'<resource>_ update'権限のみを付与するポリシー・ステートメントを追加できます。たとえば、グループNetworkUsersがCompartmentAのセキュリティ属性を持つVCNsと連携できるようにするには、次のようなポリシーを記述できます:


Allow group NetworkUsers to use vcns in compartment CompartmentA
Allow group NetworkUsers to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'

リソースのinspect権限は、そのリソースのセキュリティ属性を表示する権限を付与します。たとえば、インスタンスを検査できるユーザーは、そのインスタンスに適用されているすべてのセキュリティ属性を表示することもできます。

リソース権限の詳細は、ポリシー参照を参照してください。ZPR IAMポリシーの詳細は、ゼロ・トラスト・パケット・ルーティングIAMポリシーを参照してください。

セキュリティ属性の基本

サポートされている各リソースに最大3つのセキュリティ属性を適用できます。Zero Trust Packet Routing (ZPR)の制限の詳細は、制限を参照してください。

セキュリティ属性名には、セキュリティ属性ネームスペースと同じネーミング規則があります。セキュリティ属性名に有効な文字は、次のとおりです。

  • 0-9
  • A-Z
  • a-z
  • - (ダッシュ)
  • _ (アンダースコア)

セキュリティ属性名は、a-z文字で始まり、同じセキュリティ属性ネームスペース内で一意である必要があります。セキュリティ属性名では大文字と小文字は区別されません。つまり、たとえば、mySecurityAttributemysecurityattributeは同じネームスペースで許可されません。セキュリティ属性ネームスペースですでに使用されている名前を指定すると、エラーが表示されます。

すべてのセキュリティ属性に説明が必要です。説明は一意である必要はなく、後で更新できます。

各セキュリティー属性には、そのライフサイクル内のセキュリティー属性の場所に応じてステータスが割り当てられます。

ACTIVE
セキュリティ属性はアクティブです。
非アクティブ
セキュリティ属性が非アクティブ化されました。
DELETING
セキュリティ属性は削除中です。
DELETED
セキュリティ属性は削除されます。

セキュリティ属性が必要なくなった場合は削除できます。セキュリティ属性を削除するには、最初に廃止する必要があります削除できるのは、廃止されたセキュリティ属性のみです。

セキュリティ属性を管理するために実行できる操作については、セキュリティ属性の管理を参照してください。

セキュリティ属性値

リソースをさらに編成するには、セキュリティ属性に値を割り当てます。

たとえば、リソースを編成するために、企業は次のセキュリティ属性を適用します。

  • アプリケーション
  • ネットワーク
  • データベース

リソースをさらに分類するために、会社はセキュリティ属性に次の値タイプを設定します。

  • アプリケーション
    • hr-app
    • 給与アプリ
    • 福利厚生アプリ
  • ネットワーク
    • フロントネットワーク
    • バックネットワーク
  • データベース
    • autonomous-databases
    • クラウド自律型vmclustersouth
    • cloud-vmclusters
    • db-systems

ZPRには、セキュリティ属性に値タイプを適用するための次のオプションが用意されています。

静的
ユーザーが値を入力します。
LOV
ユーザーは、指定された値のリストから選択します。

値タイプは、セキュリティ属性を作成または更新するとき、または保護されたリソースを管理するときに設定できます。