Compute sichern
Dieses Thema enthält Sicherheitsinformationen und Empfehlungen für Compute.
Mit dem Compute-Service können Sie Compute-Hosts (als Instanzen bezeichnet) bereitstellen und verwalten. Sie können Instanzen nach Bedarf erstellen, um Ihre Compute- und Anwendungsanforderungen zu erfüllen. Nach dem Erstellen einer Instanz können Sie sicher von Ihrem Rechner aus darauf zugreifen, sie neu starten, Volumes anhängen und trennen und die Instanz beenden, wenn Sie fertig sind. Wenn Sie die Instanz beenden, gehen Änderungen an ihren lokalen Laufwerken verloren. Alle gespeicherten Änderungen an den an die Instanz angehängten Volumes werden beibehalten.
Sicherheitszuständigkeiten
Erfahren Sie mehr über Ihre Zuständigkeiten im Bereich Sicherheit und Compliance, um Compute sicher zu verwenden.
Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:
- Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:
- Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
- Verschlüsselung und Vertraulichkeit: Verwenden Sie Verschlüsselungsschlüssel und Secrets, um Ihre Daten zu schützen und eine Verbindung zu gesicherten Ressourcen herzustellen. Drehen Sie diese Schlüssel regelmäßig.
- Patching: Halten Sie die Software mit den neuesten Sicherheitspatches aktualisiert, um Schwachstellen zu vermeiden.
Erste Sicherheitsaufgaben
Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Compute in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.
| Aufgabe | Weitere Informationen |
|---|---|
| Mit IAM-Policys Benutzern und Ressourcen Zugriffsberechtigungen erteilen | IAM-Policys |
| Ressourcen mit einem benutzerdefinierten Schlüssel verschlüsseln | Datenverschlüsselung |
| Sicherer Netzwerkzugriff auf Ressourcen | Netzwerksicherheit |
| Cloud Guard aktivieren und konfigurieren (optional) | Cloud Guard |
| Sicherheitszone erstellen (optional) | Sicherheitszonen |
Routinemäßige Sicherheitsaufgaben
Nach den ersten Schritten mit Compute ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.
| Aufgabe | Weitere Informationen |
|---|---|
| Verschlüsselungsschlüssel rotieren | Datenverschlüsselung |
| Auf in Cloud Guard erkannte Probleme reagieren | Cloud Guard |
| Neueste Sicherheitspatches einspielen | Patching |
| Sicherheitsaudit ausführen | Prüfen |
IAM-Policys
Schränken Sie mit Policys den Zugriff auf Compute ein.
In einer Policy ist definiert, wer wie auf Oracle Cloud Infrastructure-Ressourcen zugreifen kann. Weitere Informationen finden Sie unter Funktionsweise von Policys.
Weisen Sie einer Gruppe jeweils nur die geringsten Berechtigungen zu, die diese Gruppe benötigt, um ihre Zuständigkeiten ausführen zu können. Jede Policy enthält ein Verb, das beschreibt, welche Aktionen die Gruppe ausführen darf. Folgende Verben sind verfügbar (sortiert nach Berechtigung): inspect, read, use und manage.
Es wird empfohlen, einem Mindestset von IAM-Benutzern und -Gruppen DELETE-Berechtigungen zu erteilen. Diese Vorgehensweise minimiert den Datenverlust durch versehentliches Löschen durch autorisierte Benutzer oder durch böswillige Akteure. Erteilen Sie DELETE-Berechtigungen nur Mandanten- und Compartment-Administratoren.
In allen folgenden Beispielen wurden die Policys einem Mandanten zugeordnet. Wenn Sie jedoch einen Compartment-Namen angeben, können diese auf ein bestimmtes Compartment in einem Mandanten begrenzt werden.
Im folgenden Beispiel kann die Gruppe InstanceUsers Instanzen starten, aber nicht löschen.
Allow group InstanceUsers to manage instance-family in tenancy
where request.permission!='INSTANCE_DELETE'
Allow group InstanceUsers to use volume-family in tenancy
Allow group InstanceUsers to use virtual-network-family in tenancyAus Gründen der Sicherheitskonformität möchten einige Kunden die Instanzkonsole nicht für Benutzer in ihrem Mandanten verfügbar machen. Das folgende Policy-Beispiel schränkt die Möglichkeit ein, Konsolen zu erstellen oder auszulesen.
Allow group InstanceUsers to manage instance-console-connection in tenancy
where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ,
request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}Weitere Informationen zu Compute-Policys und zum Anzeigen weiterer Beispiele finden Sie unter Details zu den Coreservices.
Zugriffskontrolle
Sperren Sie neben dem Erstellen von IAM-Policys den Zugriff auf Compute-Instanzen.
Instanzzugriff auf andere Services
Mit dem Oracle Cloud Infrastructure-Instanz-Principals-Feature können Sie Instanzen autorisieren, im Auftrag eines IAM-Benutzers auf andere Services zuzugreifen.
Beispiel: Eine Instanz kann auf Block Volume, Networking, Load Balancer oder Object Storage zugreifen.
Um dieses Feature zu verwenden, erstellen Sie dynamische Gruppen, und gewähren Sie ihnen Zugriff auf Service-APIs. Mit dynamischen Gruppen können Sie Oracle Cloud Infrastructure-Compute-Instanzen als "Principal"-Darsteller gruppieren (ähnlich wie Benutzergruppen). Sie können dann Policys erstellen, mit denen Instanzen API-Aufrufe für Oracle Cloud Infrastructure-Services durchführen können.
Wenn Sie eine dynamische Gruppe erstellen anstatt der Gruppe explizit Mitglieder hinzuzufügen, definieren Sie stattdessen eine Gruppe von Übereinstimmungsregeln, um die Gruppenmitglieder zu definieren. Ein Private Key mit kurzer Gültigkeit zum Signieren von API-Aufrufen wird über den Instanzmetadaten-Service (http://169.254.169.254/opc/<version>/identity/cert.pem) zugestellt, und der Schlüssel wird mehrmals täglich rotiert. Weitere Informationen über den Zugriff auf Services von Instanzen aus finden Sie unter Services von einer Instanz aus aufrufen.
Zugriff auf Instanzmetadaten
Es wird empfohlen, den Zugriff auf Instanzmetadaten auf privilegierte Benutzer in der Instanz zu beschränken.
Instanzmetadaten (http://169.254.169.254) stellen vordefinierte Instanzinformationen bereit, wie OCID, Anzeigename und benutzerdefinierte Felder. Die Instanzmetadaten können auch kurzlebige Zugangsdaten bereitstellen, wie Zugangsdaten für dynamische Gruppen. Das folgende Beispiel zeigt, wie Sie mit iptables den Zugriff auf Instanzmetadaten auf den Benutzer root einschränken.
iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROPInstanzen verwenden linklokale Adressen für den Zugriff auf den Instanzmetadaten-Service (169.254.169.254:80), DNS (169.254.169.254:53), NTP (169.254.169.254:123), Kernelupdates (169.254.0.3) und iSCSI-Verbindungen mit Boot-Volumes (169.254.0.2:3260, 169.254.2.0/24:3260). Mit hostbasierten Firewalls wie iptables können Sie sicherstellen, dass nur der root-Benutzer für den Zugriff auf diese IPs autorisiert ist. Stellen Sie sicher, dass diese Firewallregeln des Betriebssystems nicht geändert werden.
Der Instance Metadata Service ist in zwei Versionen verfügbar: Version 1 und Version 2. IMDSv2 bietet eine erhöhte Sicherheit im Vergleich zu v1. Wir empfehlen, IMDSv1 zu deaktivieren und Anforderungen nur an IMDSv2 zuzulassen. Siehe Upgrade auf Instance Metadata Service v2.
Cloud Guard
Aktivieren Sie Cloud Guard, und verwenden Sie es, um Sicherheitsprobleme in Compute-Ressourcen zu erkennen und darauf zu reagieren.
Wenn ein Problem erkannt wird, schlägt Cloud Guard Korrekturmaßnahmen vor. Sie können Cloud Guard auch so konfigurieren, dass bestimmte Aktionen automatisch ausgeführt werden. Cloud Guard enthält die folgenden Detektorregeln für Compute.
- Instanz hat eine öffentliche IP-Adresse
- Instanz führt ein Oracle-Image aus
- Instanz führt kein Oracle-Image aus
- Instanz ist öffentlich zugänglich
- Instanz beendet
- Image exportieren
- Image importieren
- Image aktualisieren
Eine Liste aller verfügbaren Detektorregeln in Cloud Guard finden Sie unter Detektorrezeptreferenz.
Aktivieren Sie Cloud Guard, falls noch nicht geschehen, und konfigurieren Sie es so, dass es die Compartments überwacht, die Ihre Ressourcen enthalten. Sie können Cloud Guard-Ziele konfigurieren, um den gesamten Mandanten (Root Compartment und alle Sub-Compartments) zu prüfen oder nur bestimmte Compartments zu prüfen. Siehe Erste Schritte mit Cloud Guard.
Nachdem Sie Cloud Guard aktiviert haben, können Sie erkannte Sicherheitsprobleme anzeigen und beheben. Siehe Gemeldete Probleme verarbeiten.
Sicherheitszonen
Durch die Verwendung von Sicherheitszonen wird sichergestellt, dass Ihre Ressourcen in Compute den Best Practices zur Sicherheit entsprechen.
Eine Sicherheitszone ist mit mindestens einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Sie Ressourcen im Compartment einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure diese Vorgänge anhand der Liste der Sicherheitszonen-Policys im Rezept. Wenn eine Policy im Rezept verletzt wird, wird der Vorgang abgelehnt. Die folgenden Sicherheitszonen-Policys sind für Ressourcen in Compute verfügbar.
deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zonedeny instance_in_security_zone_in_subnet_not_in_security_zonedeny instance_without_sanctioned_imagedeny boot_volume_not_in_security_zone_attach_to_instance_in_security_zonedeny boot_volume_without_vault_key
Eine Liste aller Sicherheitszonen-Policys finden Sie unter Sicherheitszonen-Policys.
Um vorhandene Ressourcen in ein Compartment in einer Sicherheitszone zu verschieben, müssen die Ressourcen allen Sicherheitszonen-Policys im Rezept der Zone entsprechen. Ebenso können Ressourcen in einer Sicherheitszone nicht in ein Compartment außerhalb der Sicherheitszone verschoben werden, weil es möglicherweise weniger sicher ist. Siehe Sicherheitszonen verwalten.
Datenverschlüsselung
Erstellen und rotieren Sie Verschlüsselungsschlüssel im Vault-Service, um Ihre Ressourcen in Compute zu schützen.
Ein Vault ist eine logische Entity, in der die Verschlüsselungsschlüssel gespeichert werden, die Sie zum Schutz Ihrer Daten verwenden. Je nach Schutzmodus werden Schlüssel entweder auf dem Server gespeichert oder auf hochverfügbaren und dauerhaften Hardwaresicherheitsmodulen (HSMs) gespeichert. Unsere HSMs erfüllen die Sicherheitszertifizierung nach Federal Information Processing Standards (FIPS) 140-2 der Sicherheitsebene 3. Siehe Vaults verwalten und Schlüssel verwalten.
Obwohl Standardverschlüsselungsschlüssel automatisch generiert werden können, wenn Sie bestimmte Oracle Cloud Infrastructure-Ressourcen erstellen, wird empfohlen, dass Sie Ihre eigenen benutzerdefinierten Verschlüsselungsschlüssel im Vault-Service erstellen und verwalten.
Instanz-Boot-Volumes werden standardmäßig verschlüsselt. Wenn Sie eine Instanz erstellen, können Sie mit einem benutzerdefinierten Verschlüsselungsschlüssel die ruhenden Daten im Boot-Volume verschlüsseln. Wenn Sie die Verschlüsselung während der Übertragung für die Instanz aktivieren, wird der benutzerdefinierte Schlüssel auch für die Verschlüsselung während der Übertragung verwendet. Siehe Instanz erstellen.
Jedem Masterverschlüsselungsschlüssel wird automatisch eine Schlüsselversion zugewiesen. Wenn Sie einen Schlüssel rotieren, generiert der Vault-Service eine neue Schlüsselversion. Durch regelmäßiges Rotieren der Schlüssel wird die Datenmenge begrenzt, die von einer einzelnen Schlüsselversion verschlüsselt oder signiert wird. Wenn ein Schlüssel besteht, reduziert die Schlüsselrotation das Risiko für Ihre Daten. Siehe Schlüssel verwalten.
Es wird empfohlen, IAM-Policys zu verwenden, um die Erstellung, Rotation und Löschung von Verschlüsselungsschlüsseln streng zu begrenzen. Siehe Details zum Vault Service.
Netzwerksicherheit
Sichern Sie den Netzwerkzugriff auf Ihre Ressourcen im Compute-Service, einschließlich Secure Shell (SSH).
Schützen Sie SSH auf allen Instanzen. In der folgenden Tabelle sind einige SSH-Sicherheitsempfehlungen aufgeführt. SSH-Konfigurationsoptionen können in der Datei sshd_config festgelegt werden. Unter Linux befindet sich diese Datei unter /etc/ssh/sshd_config.
| Sicherheitsempfehlung | Konfiguration sshd_config | Kommentare |
|---|---|---|
| Nur Public-Key-Anmeldungen verwenden | PubkeyAuthentication yes |
Prüfen Sie regelmäßig die SSH-Public-Keys in der Datei ~/.ssh/authorized_keys. |
| Kennwortanmeldungen deaktivieren | PasswordAuthentication no |
Reduziert Brute-Force-Passwortangriffe. |
| Root-Anmeldungen deaktivieren | PermitRootLogin no |
Verhindert Root-Berechtigungen für Remoteanmeldungen. |
| SSH-Port in einen nicht standardmäßigen Port ändern | Port <port_number> |
Optional. Stellen Sie sicher, dass diese Änderung keine Anwendungen mit Port 22 für SSH unterbricht. |
Verwenden Sie sichere SSH-Private Keys, um auf Instanzen zuzugreifen und unbeabsichtigte Offenlegungen zu verhindern. Weitere Informationen zum Erstellen eines SSH-Schlüsselpaares und Konfigurieren einer Instanz mit den Schlüsseln finden Sie unter Schlüsselpaare auf Linux-Instanzen verwalten.
Verwenden Sie Sicherheitslisten , Netzwerksicherheitsgruppen oder eine Kombination aus beiden, um den Traffic auf Paketebene in und aus den Ressourcen in Ihrem VCN (virtuelles Cloud-Netzwerk) zu steuern. Siehe Zugriff und Sicherheit.
Fail2ban ist eine Anwendung, die IP-Adressen in Blocklisten auflistet, die an Brute-force-Anmeldeversuchen beteiligt sind (d.h. zu viele nicht erfolgreiche Anmeldeversuche bei einer Instanz). Standardmäßig prüft Fail2ban SSH-Zugriffe, und Sie können sie so konfigurieren, dass andere Protokolle geprüft werden. Weitere Informationen über Fail2ban finden Sie unter Fail2ban Hauptseite.
Verwenden Sie neben VCN-Netzwerksicherheitsgruppen und -Sicherheitslisten hostbasierte Firewalls wie iptables und firewalld, um den Netzwerkzugriff auf Instanzen durch Steuern von Ports, Protokollen und Pakettypen einzuschränken. Verwenden Sie diese Firewalls, um eine potenzielle Aufklärung von Netzwerkangriffen wie Portscans und Eindringversuchen zu verhindern. Benutzerdefinierte Firewallregeln können bei jedem Boot-Vorgang der Instanz konfiguriert, gespeichert und initialisiert werden. Das folgende Beispiel zeigt Befehle für iptables.
# save iptables rules after configuration
sudo iptables-save > /etc/iptables/iptables.rules
# restore iptables rules on next reboot
sudo /sbin/iptables-restore < /etc/iptables.rules
# restart iptables after restore
sudo service iptables restartWenn Sie ein Subnetz in einem VCN erstellen, wird das Subnetz standardmäßig als öffentlich betrachtet, und die Internetkommunikation ist zulässig. Mit privaten Subnetzen können Sie Ressourcen hosten, die keinen Internetzugriff erfordern. Sie können auch ein Servicegateway in Ihrem VCN konfigurieren, damit Ressourcen in einem privaten Subnetz auf andere Cloud-Services zugreifen können. Siehe Konnektivitätsoptionen.
Der Bastion-Service bietet begrenzten und begrenzten Zugriff auf Zielressourcen, die keine öffentlichen Endpunkte haben. Mit einer Bastion können autorisierte Benutzer über Secure Shell-(SSH-)Sessions eine Verbindung zu Zielressourcen auf privaten Endpunkten herstellen. Bei einer Verbindung können Benutzer mit der Zielressource über jede von SSH unterstützte Software oder jedes unterstützte Protokoll interagieren. Siehe Bastionen verwalten.
Verwenden Sie Web Application Firewall (WAF), um Schutzregeln für Internetbedrohungen wie Cross-Site Scripting (XSS), SQL Injection und andere OWASP-definierte Sicherheitslücken zu erstellen und zu verwalten. Unerwünschte Bots können gemildert werden, während wünschenswerte Bots betreten dürfen. WAF beobachtet den Traffic zu Ihrer Webanwendung im Laufe der Zeit und empfiehlt neue Regeln für die Konfiguration. Siehe Erste Schritte mit Edge Policys.
Patchen
Stellen Sie sicher, dass auf Ihren Compute-Ressourcen die neuesten Sicherheitsupdates ausgeführt werden.
Halten Sie die Instanzsoftware mit Sicherheitspatches auf dem aktuellen Stand. Es wird empfohlen, regelmäßig die neuesten verfügbaren Softwareupdates in Ihre Instanzen einzuspielen. Oracle Autonomous Linux-Images werden automatisch mit den neuesten Patches aktualisiert. Für Oracle Linux-Images können Sie den Befehl sudo yum update ausführen (sudo dnf update unter Oracle Linux 8). Unter Oracle Linux können Sie Informationen zu verfügbaren und installierten Sicherheitspatches mit dem Plug-in yum-security abrufen. Das folgende Beispiel enthält Befehle für yum-security.
# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security allLinux-Instanzen auf Oracle Cloud Infrastructure können mit Oracle Ksplice kritische Kernel-Patches anwenden, ohne dass ein Neustart erforderlich ist. Ksplice kann bestimmte Kernelversionen für Oracle Linux, CentOS und Ubuntu verwalten. Weitere Informationen finden Sie unter Oracle Ksplice.
- Ports, die versehentlich offengelassen wurden, können potenzielle Angriffsvektoren für Ihre Cloud-Ressourcen darstellen oder es Hackern ermöglichen, andere Sicherheitslücken auszunutzen.
- BS-Packages, die Updates und Patches benötigen, um Sicherheitslücken zu beseitigen
- BS-Konfigurationen, die von Hackern ausgenutzt werden könnten
Schützen
Konfigurieren Sie Ihre Compute-Ressourcen für Produktions-Deployments.
Legen Sie eine Baseline für die Absicherung von Linux- und Windows-Images fest, die auf Instanzen ausgeführt werden. Weitere Informationen zur Absicherung von Oracle Linux-Images finden Sie unter Tipps zur Absicherung eines Oracle Linux-Servers. Die Center for Internet Security-Benchmarks bieten umfassende Benchmarks zur Absicherung verschiedener Distributionen von Linux und Windows Server.
Instanzentropie
In Linux-Instanzen ist /dev/random nicht blockiert und sollte für Sicherheitsanwendungen verwendet werden, die Zufallszahlen erfordern.
Sowohl Bare-Metal- als auch VM-Instanzen stellen eine qualitativ hochwertige Entropiequelle bereit. Instanzen haben Zufallszahlengeneratoren, deren Ausgabe in die Entropiepools eingespeist wird, mit denen das Betriebssystem Zufallszahlen generiert.
Mit den folgenden Befehlen können Sie Durchsatz und Qualität der Zufallszahlen prüfen, die von /dev/random generiert werden, bevor Sie die Ausgabe in Anwendungen verwenden.
# check sources of entropy
sudo rngd -v
# enable rngd, if not already
sudo systemctl start rngd
# verify rngd status
sudo systemctl status rngd
# verify /dev/random throughput and quality using rngtest
cat /dev/random | rngtest -c 1000Prüfen
Suchen Sie Zugriffslogs und andere Sicherheitsdaten für Compute-Instanzen.
Verschiedene sicherheitsbezogene Ereignisse werden in Logdateien erfasst. Es wird empfohlen, diese Logdateien regelmäßig zu prüfen, um Sicherheitsprobleme aufzudecken. In Oracle Linux befinden sich die Logdateien im Ordner /var/log. Einige sicherheitsrelevante Logdateien sind in der folgenden Tabelle aufgeführt.
| Logdatei oder Verzeichnis | Beschreibung |
|---|---|
/var/log/secure
|
Auth-Log mit nicht erfolgreichen und erfolgreichen Anmeldungen. |
/var/log/audit
|
Auditd-Logs, die ausgegebene Systemaufrufe, sudo-Versuche, Benutzeranmeldungen usw. erfassen. ausearch und aureport sind zwei Tools zum Abfragen von auditd-Logs. |
/var/log/yum.log
|
Listet Pakete auf, die auf Instanzen mit yum installiert oder aktualisiert wurden. |
/var/log/cloud-init.log
|
Beim Booten der Instanz kann cloud-init vom Benutzer bereitgestellte Skripte als privilegierter Benutzer ausführen. Beispiel: cloud-init kann SSH-Schlüssel einführen. Es wird empfohlen, die cloud-init-Logs auf nicht erkannte Befehle zu prüfen. |
Der Audit-Service zeichnet automatisch alle API-Aufrufe an Oracle Cloud Infrastructure-Ressourcen auf. Sie können Ihre Sicherheits- und Complianceziele erreichen, indem Sie mit dem Audit-Service alle Benutzeraktivitäten in Ihrem Mandanten überwachen. Da alle Konsolen-, SDK- und Befehlszeilenaufrufe über unsere APIs laufen, werden alle Aktivitäten aus diesen Quellen einbezogen. Auditdatensätze sind über eine authentifizierte, filterbare Abfrage-API verfügbar, oder sie können als in Batches verwendete Dateien aus Object Storage abgerufen werden. Zu den Inhalten des Auditlogs gehören die aufgetretenen Aktivitäten, der Benutzer, der diese initiiert hat, Datum und Uhrzeit der Anforderung sowie Quell-IP, Benutzer-Agent und HTTP-Header der Anforderung. Siehe Auditlogereignisse anzeigen.
Auditlog für ein LaunchInstance-Ereignis
{
"datetime": 1642192740551,
"logContent": {
"data": {
"additionalDetails": {
"X-Real-Port": 50258,
"imageId": "ocid1.image.oc1.<unique_id>",
"shape": "VM.Standard.E3.Flex",
"type": "CustomerVmi",
"volumeId": "null"
},
"availabilityDomain": "AD1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"compartmentName": "mytenancy",
"definedTags": {},
"eventGroupingId": "<unique_id>",
"eventName": "LaunchInstance",
"freeformTags": {},
"identity": {
"authType": null,
"callerId": null,
"callerName": null,
"consoleSessionId": null,
"credentials": "<key>",
"ipAddress": "<ip_address>",
"principalId": "<user_id>",
"principalName": "<user_name>",
"tenantId": "ocid1.tenancy.oc1..<unique_id>",
"userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
},
"message": "myinstance LaunchInstance succeeded",
"request": {
"action": "POST",
"headers": {
"Accept": [
"application/json"
],
"Connection": [
"keep-alive"
],
"Date": [
"Fri, 14 Jan 2022 20:38:59 GMT"
]
},
"id": "<unique_id>",
"parameters": {},
"path": "/20160918/instances"
},
"resourceId": "ocid1.instance.oc1.phx.<unique_id>",
"response": {
"headers": {
"Connection": [
"keep-alive"
],
"Content-Type": [
"application/json"
],
"Date": [
"Fri, 14 Jan 2022 20:39:00 GMT"
],
"ETag": [
"<unique_id>"
],
"Transfer-Encoding": [
"chunked"
],
"X-Content-Type-Options": [
"nosniff"
],
"opc-request-id": [
"<unique_id>"
],
"opc-work-request-id": [
"ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
]
},
"message": null,
"payload": {},
"responseTime": "2022-01-14T20:39:00.551Z",
"status": "200"
},
"stateChange": {
"current": {
"agentConfig": {
"areAllPluginsDisabled": false,
"isManagementDisabled": false,
"isMonitoringDisabled": false
},
"availabilityConfig": {
"recoveryAction": "RESTORE_INSTANCE"
},
"availabilityDomain": "EMIr:PHX-AD-1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"definedTags": {},
"displayName": "<unique_id>",
"extendedMetadata": {},
"faultDomain": "FAULT-DOMAIN-1",
"freeformTags": {},
"id": "ocid1.instance.oc1.phx.<unique_id>",
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"instanceOptions": {
"areLegacyImdsEndpointsDisabled": false
},
"launchMode": "PARAVIRTUALIZED",
"launchOptions": {
"bootVolumeType": "PARAVIRTUALIZED",
"firmware": "UEFI_64",
"isConsistentVolumeNamingEnabled": true,
"isPvEncryptionInTransitEnabled": false,
"networkType": "PARAVIRTUALIZED",
"remoteDataVolumeType": "PARAVIRTUALIZED"
},
"lifecycleState": "PROVISIONING",
"region": "phx",
"shape": "VM.Standard.E3.Flex",
"shapeConfig": {
"gpus": 0,
"localDisks": 0,
"maxVnicAttachments": 2,
"memoryInGBs": 16,
"networkingBandwidthInGbps": 1,
"ocpus": 1,
"processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
},
"sourceDetails": {
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"sourceType": "image"
},
"systemTags": {},
"timeCreated": "2022-01-14T20:39:00.260Z"
},
"previous": {}
}
},
"dataschema": "2.0",
"id": "<unique_id> ",
"oracle": {
"compartmentid": "ocid1.tenancy.oc1..<unique_id>",
"ingestedtime": "2022-01-14T20:39:05.212Z",
"loggroupid": "_Audit",
"tenantid": "ocid1.tenancy.oc1..<unique_id>"
},
"source": "<unique_id>",
"specversion": "1.0",
"time": "2022-01-14T20:39:00.551Z",
"type": "com.oraclecloud.computeApi.LaunchInstance.begin"
}
}Wenn Sie Cloud Guard in Ihrem Mandanten aktiviert haben, werden alle Benutzeraktivitäten gemeldet, die potenzielle Sicherheitsbedenken darstellen. Wenn ein Problem erkannt wird, schlägt Cloud Guard Korrekturmaßnahmen vor. Sie können Cloud Guard auch so konfigurieren, dass bestimmte Aktionen automatisch ausgeführt werden. Siehe Erste Schritte mit Cloud Guard und Gemeldete Probleme verarbeiten.