Documentación de Oracle Cloud Infrastructure

Protección de Monitoring

En este tema se proporciona información y recomendaciones de seguridad para el servicio Oracle Cloud Infrastructure Monitoring.

Responsabilidades de seguridad

Para utilizar Monitoring de forma segura, conozca sus responsabilidades en materia de seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

  • Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

  • Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.

Tareas de seguridad iniciales

Utilice esta lista de control para identificar las tareas que debe realizar para proteger Monitoring en un nuevo arrendamiento de Oracle Cloud Infrastructure.

Tarea Más información
Utilice políticas de IAM para otorgar acceso a usuarios y recursos Políticas de IAM

Tareas de seguridad rutinarias

Después de empezar a utilizar Monitoring, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.

El servicio de control no tiene ninguna tarea de seguridad que deba realizar con regularidad.

Políticas de IAM

Utilice políticas para limitar el acceso a la supervisión.

Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.

Asigne a un grupo los privilegios mínimos necesarios para cumplir con sus responsabilidades. Cada política tiene un verbo que describe las acciones que puede realizar el grupo. Desde la menor cantidad de acceso a la mayor cantidad de acceso, los verbos disponibles son: inspect, read, use y manage.

Para obtener más información sobre las políticas de supervisión, consulte Detalles de Comprobaciones del sistema.

Acceso a alarmas para grupos

Obtener detalles e historial de alarmas

Cree esta política para permitir a un grupo obtener detalles de alarma y obtener historial de alarmas. La línea read metrics es necesaria para obtener el historial de alarmas.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gestión de las alarmas

Cree esta política para permitir a un grupo gestionar alarmas mediante flujos y temas existentes para notificaciones. Esta política no permite la creación de nuevos temas.

Nota

Para limitar el grupo a los permisos necesarios para seleccionar flujos, sustituya use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gestión de alarmas y creación de temas

Cree esta política para permitir que un grupo gestione alarmas, incluida la creación de temas (y suscripciones) para notificaciones (y uso de flujos para notificaciones).

Nota

Para limitar el grupo a los permisos necesarios para seleccionar flujos, sustituya use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Acceso a métricas para grupos

Enumerar definiciones de métrica

Cree esta política para permitir a un grupo enumerar definiciones de métricas en un compartimento.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Métricas de consulta

Cree esta política para permitir a un grupo consultar métricas en un compartimento.

Allow group <group_name> to read metrics in compartment <compartment_name>

Métricas de consulta para un espacio de nombres de métrica

Cree esta política para permitir que un grupo consulte métricas en un compartimento, restringido a un espacio de nombres de métrica.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Publicación de métricas personalizadas

Cree esta política para permitir a un grupo publicar métricas personalizadas en un espacio de nombres de métrica, así como ver datos de métricas, crear alarmas y temas y utilizar flujos con alarmas.

Nota

Para limitar el grupo a los permisos necesarios para seleccionar flujos, sustituya use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Acceso a métricas para recursos

Si desea que las instancias informáticas u otros recursos supervisen las métricas a través de llamadas de API, haga lo siguiente.

Para obtener más información sobre las instancias informáticas que llaman a las API, consulte Llamada a servicios desde una instancia.

  1. Agregue los recursos a un grupo dinámico mediante sus reglas de coincidencia.

  2. Cree una política que permita a ese grupo dinámico acceder a las métricas.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Acceso a métricas entre arrendamientos

Utilice el acceso a métricas entre arrendamientos para compartir métricas con otra organización que tenga su propio arrendamiento. Por ejemplo, puede compartir métricas con otra unidad de negocio de la compañía, un cliente de la compañía o una compañía que presta servicios a su compañía.

Para acceder a los recursos y compartirlos, los administradores de ambos arrendamientos deben crear sentencias de política especiales que determinen de forma explícita los recursos que se pueden compartir y a los que se puede acceder. Estas sentencias especiales usan las palabras Define, Endorse y Admit. Para obtener más información sobre estas sentencias, consulte Políticas de acceso entre arrendamientos.

Sentencias de política del arrendamiento de origen

Los administradores del arrendamiento de origen y de destino crean sentencias de política que avalan que un grupo de IAM de origen gestione recursos en el arrendamiento de destino.

Ejemplo: apruebe MetricsAdminsUserGroup para realizar cualquier acción con cualquier recurso de métrica de cualquier arrendamiento:

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Para escribir una política que reduzca el ámbito de acceso al arrendamiento, el administrador de origen debe hacer referencia al OCID del arrendamiento de destino proporcionado por el administrador de destino.

Ejemplo: apruebe MetricsAdminsUserGroup para leer recursos de métricas solo en el arrendamiento de destino (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Para permitir que un grupo publique métricas en el arrendamiento de destino, utilice el verbo manage:

Ejemplo: apruebe MetricsAdminsUserGroup para gestionar recursos de métricas solo en el arrendamiento de destino (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Ejemplo: apruebe un grupo dinámico (MetricsAdminsDynamicGroup) para leer recursos de métricas en el arrendamiento de destino:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Sentencias de política del arrendamiento de destino

Ejemplo: apruebe MetricsAdminsUserGroup en el arrendamiento de origen (MetricsAdminsUserGroupInSource) para realizar cualquier acción con cualquier recurso de métrica de su arrendamiento:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Ejemplo: apruebe MetricsAdminsUserGroup en el arrendamiento de origen (MetricsAdminsUserGroupInSource) para leer recursos de métricas solo en el compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Ejemplo: apruebe un grupo dinámico (MetricsAdminsDynamicGroup) en el arrendamiento de origen (MetricsAdminsDynamicGroupInSource) para leer recursos de métricas solo en el compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics