Sicherheitszonen verwalten
Erstellen und verwalten Sie Sicherheitszonen, um Ressourcen in einem Compartment zu schützen.
Sie können die folgenden Aufgaben zur Verwaltung von Sicherheitszonen ausführen:
- Sicherheitszone auflisten
- Sicherheitszone erstellen
- Sicherheitszonendetails abrufen
- Sicherheitszone bearbeiten
- Sicherheitszone zwischen Compartments verschieben
- Sicherheitszone löschen
- Sub-Compartments aus einer Sicherheitszone entfernen
- Entferntes Sub-Compartment einer Sicherheitszone hinzufügen
- Sicherheitszonen-Policys in einem Compartment aufführen
- Policy-Verletzungen in einer Sicherheitszone anzeigen
- Compartments in einer Sicherheitszone anzeigen
Eine Sicherheitszone hat die folgenden Eigenschaften:
- In einem Compartment erstellt, jedoch nicht auf ein einzelnes Compartment beschränkt
- Mit einem einzelnen Compartment oder einer Hierarchie von Compartments mit einem einzelnen übergeordneten Compartment verknüpft
- Zugewiesenes Sicherheitszonenrezept
Ein Compartment kann sich nicht in mehreren Sicherheitszonen befinden.
Nachdem Sie eine Sicherheitszone für ein Compartment erstellt haben, werden Vorgänge wie das Erstellen oder Ändern von Ressourcen, die die Policys der Sicherheitszone verletzen, automatisch verhindert. Alle Vorgänge, die eine Policy im Rezept der Zone verletzen, werden abgelehnt. Vorhandene Ressourcen, die vor der Sicherheitszone erstellt wurden, können jedoch auch Policys verletzen. Der Security Zones-Service ist mit Oracle Cloud Guard integriert, um Policy-Verletzungen in vorhandenen Ressourcen zu ermitteln.
Sie müssen Cloud Guard im Mandanten aktivieren, bevor eine Sicherheitszone erstellt wird. Siehe Erste Schritte mit Cloud Guard.
Jeder Mandant verfügt über ein vordefiniertes Rezept mit dem Namen Maximum Security Recipe, das mehrere kuratierte Sicherheitszonen-Policys enthält. Oracle verwaltet dieses Rezept, und Sie können es nicht ändern.
Sie können ein benutzerdefiniertes Rezept erstellen oder ein vorhandenes klonen. Siehe Rezepte in Sicherheitszonen verwalten.
Wenn Sie eine Sicherheitszone für ein Compartment erstellen, befinden sich auch alle Sub-Compartments in derselben Sicherheitszone. Außerdem können Sie folgende Aktionen ausführen:
- Sub-Compartment aus einer Sicherheitszone entfernen
- Eine andere Sicherheitszone für ein Sub-Compartment erstellen
Um die Integrität der Daten zu gewährleisten, können Sie bestimmte Ressourcen nicht aus einem Compartment in eine Sicherheitszone in ein Compartment verschieben, das nicht in der Sicherheitszone befindet.
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure verwenden zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen IAM-Policy. Dabei spielt es keine Rolle, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.
Wenn Sie versuchen, eine Aktion auszuführen, und eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.
Beispiel: Mit der folgenden IAM -Policy können Benutzer in der Gruppe SecurityAdmins alle Sicherheitszonen und Rezepte im gesamten Mandanten erstellen, aktualisieren und löschen.
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancySiehe Cloud Guard-Policys.