1. Auditlogs für Autonomous Transaction Processing-Datenbanken überwachen
  2. Sichern Sie Ihre Implementierung

Sichern Sie Ihre Implementierung

Um Ihre Implementierung zu sichern, müssen Sie ein Vault Secret einrichten, eine Loggruppen-Oracle Cloud-ID (OCID) abrufen und die Standard-Policys erstellen.

Vault Secrets einrichten

Das Vault Secret muss vor der Verwendung dieses Stacks mit dem ATP-Kennwort erstellt werden. Das Kennwort wird im Vault gespeichert, um sicherzustellen, dass seine Verwendung nicht in Klartext in einer der Terraform-Konfigurations- oder Statusdateien erfasst wird. Das Erstellen eines Vault Secrets liegt außerhalb des Umfangs dieses Handbuchs. Vollständige Informationen zum Erstellen und Verwalten von Secrets finden Sie in der Vault-Dokumentation im Abschnitt "Weitere Informationen" unten.

Loggruppen-OCID abrufen

Mit dieser Prozedur können Sie die Loggruppen-OCID abrufen.

  1. Navigieren Sie zu https://cloud.oracle.com/loganalytics/loggroups.
  2. Vorhandene Loggruppe auswählen. Wenn keine vorhanden ist, erstellen Sie sie.
  3. Öffnen Sie die Ansicht "Loggruppeninformationen", und kopieren Sie von dort die OCID der Loggruppe.
    Die Loggruppen-OCID muss folgendes Format aufweisen:

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Standard-Policys erstellen

Prüfen Sie abschließend, ob die richtigen Standard-Policys erstellt wurden. Diese Policys lauten:

  1. Eine dynamische Gruppe, die alle Ressourcen in einem bestimmten Compartment einbezieht, das mit der Ressource type = 'managementagent' übereinstimmt. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. eine Policy, mit der Compute-Instanzen die automatische Entityverknüpfung aktivieren und der Management Agent Logs in Logging Analytics hochladen kann. Diese Policys werden auf Mandantenebene erstellt.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. eine dynamische Gruppe zur Auswahl von Compute-Instanzen, die dem im Stack ausgewählten Compartment entsprechen. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Policys zur Verwaltung von Management-Agents, zum Lesen von Secrets und zum Lesen einer autonomen Datenbank, die für Compute-Instanzen angewendet wird, die mit der dynamischen Gruppe aus dem vorherigen Schritt übereinstimmen. Diese Policys werden auf Compartment-Ebene erstellt.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy