Rezepte in Sicherheitszonen verwalten
Wenn Sie eine Sicherheitszone erstellen, weisen Sie ihr ein Rezept zu. Ein Rezept ist eine Sammlung von Sicherheitszonen-Policys.
Sie können die folgenden Aufgaben zur Verwaltung von Sicherheitszonen ausführen:
- Sicherheitszonenrezepte auflisten
- Sicherheitszonenrezept erstellen
- Sicherheitszonenrezept klonen
- Details eines Rezepts in Sicherheitszonen abrufen
- Mit einem Rezept verknüpfte Sicherheitszonen anzeigen
- Sicherheitszonenrezept bearbeiten
- Rezept in ein anderes Compartment verschieben
- Sicherheitszonenrezept löschen
Wenn Sie bestimmte Ressourcenvorgänge in einer Sicherheitszone ausführen, z.B. eine Compute-Instanz oder ein Subnetz erstellen, validiert Oracle Cloud Infrastructure automatisch die Policys in dem Rezept, die der Sicherheitszone zugewiesen sind.
Jeder Mandant verfügt über ein vordefiniertes Rezept mit dem Namen Maximum Security Recipe, das mehrere kuratierte Sicherheitszonen-Policys enthält. Oracle verwaltet dieses Rezept, und Sie können es nicht ändern.
Sie können ein benutzerdefiniertes Rezept erstellen oder ein vorhandenes klonen. In einem benutzerdefinierten Rezept können Sie Sicherheitszonen-Policys aktivieren und deaktivieren, damit eine Sicherheitszone bestimmte Sicherheitsanforderungen erfüllt.
Gehen Sie beim Deaktivieren von Policys in dem Rezept mit Vorsicht vor. Deaktivierte Policys können den Sicherheitsstatus von Ressourcen in der Sicherheitszone reduzieren.
Sicherheitszonen-Policys sind nach Typ organisiert. Jeder Typ entspricht einem der folgenden Cloud-Sicherheitsgrundsätze:
- Ressourcenverschiebung einschränken
- Ressourcenverknüpfung einschränken
- Öffentlichen Zugriff verweigern
- Verschlüsselung erfordern
- Datendauerhaftigkeit sicherstellen
- Datensicherheit sicherstellen
- Nur von Oracle genehmigte Konfigurationen verwenden
Jede Policy wirkt sich auf bestimmte Cloud-Ressourcentypen wie Compute, Object Storage oder Datenbank aus.
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure verwenden zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen IAM-Policy. Dabei spielt es keine Rolle, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.
Wenn Sie versuchen, eine Aktion auszuführen, und eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.
Beispiel: Mit der folgenden IAM -Policy können Benutzer in der Gruppe SecurityAdmins alle Sicherheitszonen und Rezepte im gesamten Mandanten erstellen, aktualisieren und löschen.
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancySiehe Cloud Guard-Policys.