Oracle Cloud Infrastructure - Dokumentation

Monitoring sichern

Dieses Thema enthält Sicherheitsinformationen und Empfehlungen für den Oracle Cloud Infrastructure Monitoring-Service.

Sicherheitszuständigkeiten

Um Monitoring sicher zu verwenden, müssen Sie sich mit Ihren Zuständigkeiten im Bereich Sicherheit und Compliance vertraut machen.

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind Sie und Oracle gleichermaßen verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

  • Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.

Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:

  • Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.

Erste Sicherheitsaufgaben

Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Monitoring in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.

Aufgabe Weitere Informationen
Mit IAM-Policys Benutzern und Ressourcen Zugriffsberechtigungen erteilen IAM-Policys

Routinemäßige Sicherheitsaufgaben

Nachdem Sie die ersten Schritte mit Monitoring ausgeführt haben, ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.

Die Überwachung enthält keine Sicherheitsaufgaben, die Sie regelmäßig ausführen müssen.

IAM-Policys

Verwenden Sie Policys, um den Zugriff auf Monitoring einzuschränken.

In einer Policy ist definiert, wer wie auf Oracle Cloud Infrastructure-Ressourcen zugreifen kann. Weitere Informationen finden Sie unter Funktionsweise von Policys.

Weisen Sie einer Gruppe jeweils nur die geringsten Berechtigungen zu, die diese Gruppe benötigt, um ihre Zuständigkeiten ausführen zu können. Jede Policy enthält ein Verb, das beschreibt, welche Aktionen die Gruppe ausführen darf. Folgende Verben sind verfügbar (sortiert nach Berechtigung): inspect, read, use und manage.

Weitere Informationen zu Monitoring-Policys finden Sie unter Details zu Health Checks.

Alarmzugriff für Gruppen

Alarmdetails und -historie abrufen

Erstellen Sie diese Policy, damit eine Gruppe Alarmdetails abrufen und Alarmhistorie abrufen kann. Die Zeile read metrics ist zum Abrufen der Alarmhistorie erforderlich.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Alarme verwalten

Erstellen Sie diese Policy, um einer Gruppe die Verwaltung von Alarmen zu ermöglichen, indem Sie Streams und vorhandene Themen für Benachrichtigungen verwenden. Diese Policy lässt die Erstellung neuer Themen nicht zu.

Hinweis

Um die Gruppe auf die Berechtigungen zu beschränken, die für die Auswahl von Streams erforderlich sind, ersetzen Sie use streams durch {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Alarme verwalten und Themen erstellen

Erstellen Sie diese Policy, damit eine Gruppe Alarme verwalten kann, einschließlich Erstellen von Themen (und Abonnements) für Benachrichtigungen (und Verwenden von Streams für Benachrichtigungen).

Hinweis

Um die Gruppe auf die Berechtigungen zu beschränken, die für die Auswahl von Streams erforderlich sind, ersetzen Sie use streams durch {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Metrikzugriff für Gruppen

Listenmetrikdefinitionen

Erstellen Sie diese Policy, um einer Gruppe das Auflisten von Metrikdefinitionen in einem Compartment zu ermöglichen.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Metriken abfragen

Erstellen Sie diese Policy, um einer Gruppe die Abfrage von Metriken in einem Compartment zu ermöglichen.

Allow group <group_name> to read metrics in compartment <compartment_name>

Metriken für einen Metrik-Namespace abfragen

Erstellen Sie diese Policy, damit eine Gruppe Metriken in einem Compartment abfragen kann, das auf einen Metrik-Namespace beschränkt ist.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Benutzerdefinierte Metriken veröffentlichen

Erstellen Sie diese Policy, damit eine Gruppe benutzerdefinierte Metriken in einem Metrik-Namespace veröffentlichen sowie Metrikdaten anzeigen, Alarme und Themen erstellen und Streams mit Alarmen verwenden kann.

Hinweis

Um die Gruppe auf die Berechtigungen zu beschränken, die für die Auswahl von Streams erforderlich sind, ersetzen Sie use streams durch {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Metrikzugriff für Ressourcen

Wenn Compute-Instanzen oder andere Ressourcen Metriken über API-Aufrufe überwachen sollen, gehen Sie wie folgt vor.

Weitere Informationen zu Compute-Instanzen, die APIs aufrufen, finden Sie unter Services von einer Instanz aufrufen.

  1. Fügen Sie die Ressourcen mit den entsprechenden Regeln zu einer dynamischen Gruppe hinzu.

  2. Erstellen Sie eine Policy, mit der diese dynamische Gruppe auf Metriken zugreifen kann.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Zugriff auf mandantenübergreifende Kennzahlen

Verwenden Sie mandantenübergreifenden Metrikzugriff, um Metriken für eine andere Organisation mit einem eigenen Mandanten freizugeben. Geben Sie beispielsweise Metriken für eine andere Geschäftseinheit in Ihrem Unternehmen, einen Kunden Ihres Unternehmens oder ein Unternehmen frei, das Services für Ihr Unternehmen bereitstellt.

Um auf Ressourcen zuzugreifen und diese freizugeben, müssen die Administratoren beider Mandanten spezielle Policy-Anweisungen erstellen, die explizit angeben, auf welche Ressourcen zugegriffen werden kann und welche Ressourcen freigegeben werden können. Diese speziellen Anweisungen verwenden die Wörter Define, Endorse und Admit. Weitere Informationen zu diesen Anweisungen finden Sie unter Mandantenübergreifende Zugriffs-Policys.

Policy-Anweisungen des Quellmandanten

Die Quell- und Zielmandantenadministratoren erstellen Policy-Anweisungen, die eine IAM-Quellgruppe zum Verwalten von Ressourcen im Zielmandanten berechtigen.

Beispiel: Geben Sie MetricsAdminsUserGroup für beliebige Metrikressourcen in einem Mandanten ein:

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Um eine Policy zu schreiben, die den Umfang des Mandantenzugriffs reduziert, muss der Quelladministrator die Ziel-Mandanten-OCID angeben, die vom Zieladministrator bereitgestellt wird.

Beispiel: Geben Sie MetricsAdminsUserGroup an, um nur Metrikressourcen im Zielmandanten (DestinationTenancy) zu lesen:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Damit eine Gruppe Metriken im Zielmandanten veröffentlichen kann, verwenden Sie das Verb manage:

Beispiel: Geben Sie MetricsAdminsUserGroup zur Verwaltung von Metrikressourcen nur im Zielmandanten (DestinationTenancy) an:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Beispiel: Geben Sie eine dynamische Gruppe (MetricsAdminsDynamicGroup) zum Lesen von Metrikressourcen im Zielmandanten an:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Policy-Anweisungen des Zielmandanten

Beispiel: Geben Sie MetricsAdminsUserGroup im Quellmandanten (MetricsAdminsUserGroupInSource) für beliebige Metrikressourcen in Ihrem Mandanten ein:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Beispiel: Geben Sie MetricsAdminsUserGroup im Quellmandanten (MetricsAdminsUserGroupInSource) an, um nur Metrikressourcen im Compartment SharedMetrics zu lesen:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Beispiel: Geben Sie eine dynamische Gruppe (MetricsAdminsDynamicGroup) im Quellmandanten (MetricsAdminsDynamicGroupInSource) an, um nur Metrikressourcen im Compartment SharedMetrics zu lesen:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics