Oracle Cloud Infrastructure - Dokumentation

Tagging sichern

Dieses Thema enthält Sicherheitsinformationen und Empfehlungen für Oracle Cloud Infrastructure Tagging.

Sicherheitszuständigkeiten

Um Tagging sicher zu verwenden, müssen Sie sich mit Ihren Zuständigkeiten im Bereich Sicherheit und Compliance vertraut machen.

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind Sie und Oracle gleichermaßen verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

  • Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.

Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:

  • Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.

Erste Sicherheitsaufgaben

Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Tagging in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.

Aufgabe Weitere Informationen
Mit IAM-Policys Benutzern und Ressourcen Zugriffsberechtigungen erteilen IAM-Policys
Zugangsdaten mit Secrets verwalten Vertraulichkeit

IAM-Policys

Mit Policys können Sie den Zugriff auf Tagging einschränken.

In einer Policy ist definiert, wer wie auf Oracle Cloud Infrastructure-Ressourcen zugreifen kann. Weitere Informationen finden Sie unter Funktionsweise von Policys.

Weisen Sie einer Gruppe jeweils nur die geringsten Berechtigungen zu, die diese Gruppe benötigt, um ihre Zuständigkeiten ausführen zu können. Jede Policy enthält ein Verb, das beschreibt, welche Aktionen die Gruppe ausführen darf. Folgende Verben sind verfügbar (sortiert nach Berechtigung): inspect, read, use und manage.

Es wird empfohlen, einem Mindestset von IAM-Benutzern und -Gruppen MANAGE-Berechtigungen zu erteilen. Diese Vorgehensweise minimiert den Datenverlust durch versehentliches Löschen durch autorisierte Benutzer oder durch böswillige Akteure. Erteilen Sie den Tagadministratoren nur MANAGE-Berechtigungen.

So verwalten Sie Tag-Namespaces und Tagdefinitionen

Im folgenden Beispiel kann ein Benutzer in der Gruppe einen Tag-Namespace im Mandanten verwalten.

Allow group GroupA to manage tag-namespaces in tenancy
So erteilen Sie Zugriff auf einen Tag-Namespace

Ein Benutzer in Gruppe A verfügt über die erforderlichen Berechtigungen zum Verwalten von Instanzen in einem Compartment. Damit der Benutzer ein Tag auf eine Instanz in einem Compartment anwenden kann, müssen Sie die folgende Anweisung zur Policy der Gruppe A hinzufügen. Diese Anweisung erteilt der Gruppe den Zugriff auf den besagten Namespace.

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
So erteilen Sie Zugriff auf das Hinzufügen von Tagstandardwerten:
Um Tagstandardwerte hinzuzufügen, benötigen Sie die folgenden Berechtigungen:
  • manage tag-defaults, um auf das Compartment zuzugreifen, in dem Sie den Tagstandard hinzufügen möchten.
  • use tag-namespaces, um auf das Compartment zuzugreifen, in dem sich der Tag-Namespace befindet.
  • inspect tag-namespaces, um auf den Mandanten zuzugreifen.

Damit eine Gruppe mit dem Namen GroupA einen Tagstandardwert zu einem Compartment mit dem Namen CompartmentA hinzufügen kann, in dem sich das Set von Tag-Namespaces befindet, schreiben Sie eine Policy mit den folgenden Anweisungen.

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

Weitere Informationen zu Tagging-Policys und zum Anzeigen weiterer Beispiele finden Sie unter Details zu IAM ohne Identitätsdomains.

Zugriffskontrolle

Sperren Sie neben dem Erstellen von IAM-Policys den Zugriff auf die Zielressourcen oder die anfordernde Ressource mit tagbasierter Zugriffskontrolle. Die tagbasierte Zugriffskontrolle bietet eine weitere Sicherheitsebene, indem der Zugriff auf eine bestimmte Gruppe von Benutzern oder Ressourcen in einem Compartment eingeschränkt und erteilt wird.

Weitere Informationen zu diesem Feature in Tagging finden Sie unter Tags zum Verwalten des Zugriffs verwenden.

Vertrauen

Verwenden Sie keine Tags als Methode zum Speichern vertraulicher oder sensibler Informationen. Mit dem Vault-Service können Sie Secrets verschlüsseln und verwalten.