Oracle Cloud Infrastructure-Dokumentation

Erste Schritte mit Security Advisor

Führen Sie vor dem Erstellen sicherer Ressourcen mit Oracle Cloud Infrastructure Security Advisor diese erforderlichen Aufgaben aus.

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Ihnen Sicherheitszugriff in einer Policy erteilen. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.

Weitere Informationen zur Funktionsweise von Policys finden Sie unter Funktionsweise von Policys.

Erforderliche IAM-Policys zum Erstellen von Buckets

  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Buckets und Objekten im angegebenen Compartment ausführen:
    Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Vaults im angegebenen Compartment ausführen, das sich vom Bucket Compartment unterscheiden kann. (Bei Bedarf können Sie eine Policy schreiben, die stattdessen die Berechtigung use vaults erteilt. Mit dieser Berechtigung kann die angegebene Gruppe vorhandene Vaults verwenden, aber keine neuen erstellen.)
    Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Schlüsseln im angegebenen Compartment ausführen, das mit dem Volume Compartment identisch sein muss.
    Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF
  • Mit der folgenden Policy kann der Object Storage-Service alle Schlüssel im angegebenen Compartment auflisten, anzeigen und kryptografische Vorgänge mit ihnen ausführen:
    Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEF

    Ersetzen Sie im vorherigen Beispiel <region_name> durch die entsprechende Regions-ID. Beispiel:

    • objectstorage-us-phoenix-1

    • objectstorage-us-ashburn-1

    • objectstorage-eu-frankfurt-1

    • objectstorage-uk-london-1

    • objectstorage-ap-tokyo-1

    Informationen zum Identifizieren des Regionsnamens einer Oracle Cloud Infrastructure-Region finden Sie unter Informationen zu Regionen und Availability-Domains.

Erforderliche IAM-Policys zum Erstellen von Dateisystemen

  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Dateisystemen und Mountzielen im angegebenen Compartment ausführen:
    Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Vaults im angegebenen Compartment ausführen, das sich vom Dateisystem-Compartment unterscheiden kann. (Bei Bedarf können Sie eine Policy schreiben, die stattdessen die Berechtigung use vaults erteilt. Mit dieser Berechtigung kann die angegebene Gruppe vorhandene Vaults verwenden, aber keine neuen erstellen.)
    Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Schlüsseln im angegebenen Compartment ausführen, das mit dem Volume Compartment identisch sein muss.
    Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF
  • Mit der folgenden Gruppe und Policy können File Storage-Dateisysteme kryptografische Vorgänge mit allen Schlüsseln im angegebenen Compartment auflisten, anzeigen und ausführen.

    1. Erstellen Sie eine dynamische Gruppe für die Dateisysteme mit einer der folgenden Regeln:

      ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

    2. Erstellen Sie eine Policy, die der dynamischen Gruppe von Dateisystemen Zugriff auf die Verwendung von Vault Secrets erteilt:

      allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF

    3. Zusätzlich zum Erstellen von Policys für den Resource Principal-Zugriff muss dem File Storage-Servicebenutzer Zugriff zum Lesen der Schlüssel mit einer Policy wie der folgenden erteilt werden:

      allow service FssOcNProd to use keys in compartment <compartment_name>

      Der Name des File Storage-Servicebenutzers hängt von Ihrer Realm ab. Bei Realms mit Realm-Schlüsselnummern von 10 oder weniger lautet das Muster für den File Storage-Servicebenutzer FssOc<n>Prod, wobei n die Realm-Schlüsselnummer ist. Realms mit einer Realm-Schlüsselnummer größer als 10 haben den Servicebenutzer fssocprod. Weitere Informationen zu Realms finden Sie unter Regionen und Availability-Domains.

Erforderliche IAM-Policys zum Erstellen von Compute-Instanzen

  • Mit der folgenden Policy kann die angegebene Gruppe alle Komponenten in Networking im angegebenen Compartment auflisten und verwenden. Dazu gehören virtuelle Cloud-Netzwerke (VCNs), Subnetze, Gateways, Virtual Circuits, Sicherheitslisten, Routentabellen usw.
    Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC
  • Mit der folgenden Policy kann die angegebene Gruppe Instanzimages im angegebenen Compartment erstellen und verwalten:
    Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Vaults im angegebenen Compartment ausführen, das sich vom Instanz-Compartment unterscheiden kann. (Bei Bedarf können Sie eine Policy schreiben, die stattdessen die Berechtigung use vaults erteilt. Mit dieser Berechtigung kann die angegebene Gruppe vorhandene Vaults verwenden, aber keine neuen erstellen.)
    Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Schlüsseln im angegebenen Compartment ausführen, das mit dem Volume Compartment identisch sein muss.
    Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF
  • Mit der folgenden Policy kann der Block Volume-Service alle Schlüssel im angegebenen Compartment auflisten, anzeigen und kryptografische Vorgänge mit diesen Schlüsseln ausführen. Der Block Volume-Service ist für das an die Instanz angehängte Boot-Volume verantwortlich.
    Allow service blockstorage to use keys in compartment CompartmentDEF

Erforderliche IAM-Policys zum Erstellen von Block-Volumes

  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Blockspeicher-Volumes, Volume-Backups und Volume-Gruppen im angegebenen Compartment ausführen:
    Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Vaults im angegebenen Compartment ausführen, das sich vom Volume Compartment unterscheiden kann. (Bei Bedarf können Sie eine Policy schreiben, die stattdessen die Berechtigung use vaults erteilt. Mit dieser Berechtigung kann die angegebene Gruppe vorhandene Vaults verwenden, aber keine neuen erstellen.)
    Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF
  • Mit der folgenden Policy kann die angegebene Gruppe alle Aktionen mit Schlüsseln im angegebenen Compartment ausführen, das mit dem Volume Compartment identisch sein muss.
    Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF
  • Mit der folgenden Policy kann der Block Volume-Service alle Schlüssel im angegebenen Compartment auflisten, anzeigen und kryptografische Vorgänge mit ihnen ausführen:
    Allow service blockstorage to use keys in compartment CompartmentDEF