Documentación de Oracle Cloud Infrastructure

Introducción a Security Advisor

Antes de crear recursos seguros con Oracle Cloud Infrastructure Security Advisor, realice estas tareas previas necesarias.

Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento qué tipo de acceso tiene y en qué compartimento debe trabajar.

Para obtener más información sobre cómo funcionan las políticas, consulte Funcionamiento de las políticas.

Políticas de IAM necesarias para crear cubos

  • La siguiente política permite al grupo especificado realizar todas las acciones con cubos y objetos en el compartimento especificado:
    Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC
  • La siguiente política permite al grupo especificado realizar todas las acciones con los almacenes del compartimento especificado, que podrían no ser el mismo compartimento que el compartimento del cubo. (Si lo prefiere, puede escribir una política que otorgue el permiso use vaults en su lugar. Con ese permiso, el grupo especificado puede utilizar almacenes existentes, pero no puede crear nuevos.)
    Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF
  • La siguiente política permite al grupo especificado realizar todas las acciones con claves en el compartimento especificado, que deben ser el mismo compartimento que el compartimento de almacén:
    Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF
  • La siguiente política permite al servicio Object Storage mostrar, ver y realizar operaciones criptográficas con todas las claves del compartimento especificado:
    Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEF

    En el ejemplo anterior, sustituya <region_name> por el identificador de región adecuado, por ejemplo:

    • objectstorage-us-phoenix-1

    • objectstorage-us-ashburn-1

    • objectstorage-eu-frankfurt-1

    • objectstorage-uk-london-1

    • objectstorage-ap-tokyo-1

    Para identificar el valor de nombre de región de una región de Oracle Cloud Infrastructure, consulte Acerca de las regiones y los dominios de disponibilidad.

Políticas de IAM necesarias para crear sistemas de archivos

  • La siguiente política permite al grupo especificado realizar todas las acciones con los sistemas de archivos y los destinos de montaje en el compartimento especificado:
    Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC
  • La siguiente política permite al grupo especificado realizar todas las acciones con almacenes en el compartimento especificado, que puede no ser el mismo compartimento que el compartimento de sistema. (Si lo prefiere, puede escribir una política que otorgue el permiso use vaults en su lugar. Con ese permiso, el grupo especificado puede utilizar almacenes existentes, pero no puede crear nuevos.)
    Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF
  • La siguiente política permite al grupo especificado realizar todas las acciones con claves en el compartimento especificado, que deben ser el mismo compartimento que el compartimento de almacén:
    Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF
  • El siguiente grupo y política permite a los sistemas de archivos de File Storage mostrar, ver y realizar operaciones criptográficas con todas las claves del compartimento especificado.

    1. Cree un grupo dinámico para los sistemas de archivos con una regla como la siguiente:

      ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

    2. Cree una política que proporcione al grupo dinámico de sistemas de archivos acceso para utilizar secretos de Vault:

      allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF

    3. Además de crear políticas para el acceso a la entidad de recurso, se debe otorgar acceso al usuario del servicio File Storage para leer las claves mediante una política como la siguiente:

      allow service FssOcNProd to use keys in compartment <compartment_name>

      El nombre del usuario del servicio File Storage depende de su dominio. Para los dominios con números de clave de dominio de 10 o menos, el patrón para el usuario del servicio File Storage es FssOc<n>Prod, donde n es el número de clave de dominio. Los dominios con un número de clave de dominio mayor que 10 tienen un usuario de servicio de fssocprod. Para obtener más información sobre los dominios, consulte About Regions and Availability Domains.

Políticas de IAM necesarias para crear instancias informáticas

  • La siguiente política permite al grupo especificado mostrar y utilizar todos los componentes de Networking en el compartimento especificado. Esto incluye las redes virtuales en la nube (VCN), las subredes, los gateways, los circuitos virtuales, las listas de seguridad, las tablas de rutas, etc.
    Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC
  • La siguiente política permite al grupo especificado crear y gestionar imágenes de instancia en el compartimento especificado:
    Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC
  • La siguiente política permite al grupo especificado realizar todas las acciones con almacenes en el compartimento especificado, que puede no ser el mismo compartimento que el compartimento de instancia. (Si lo prefiere, puede escribir una política que otorgue el permiso use vaults en su lugar. Con ese permiso, el grupo especificado puede utilizar almacenes existentes, pero no puede crear nuevos.)
    Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF
  • La siguiente política permite al grupo especificado realizar todas las acciones con claves en el compartimento especificado, que deben ser el mismo compartimento que el compartimento de almacén:
    Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF
  • La siguiente política permite al servicio Block Volume mostrar, ver y realizar operaciones criptográficas con todas las claves del compartimento especificado. El servicio Block Volume es responsable del volumen de inicio asociado a la instancia.
    Allow service blockstorage to use keys in compartment CompartmentDEF

Políticas de IAM necesarias para crear volúmenes en bloque

  • La siguiente política permite al grupo especificado realizar todas las acciones necesarias con los volúmenes de almacenamiento de bloques, las copias de seguridad de los volúmenes y los grupos de volúmenes del compartimento especificado:
    Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC
  • La siguiente política permite al grupo especificado realizar todas las acciones con almacenes en el compartimento especificado, que podría no ser el mismo compartimento que el compartimento de volumen. (Si lo prefiere, puede escribir una política que otorgue el permiso use vaults en su lugar. Con ese permiso, el grupo especificado puede utilizar almacenes existentes, pero no puede crear nuevos.)
    Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF
  • La siguiente política permite al grupo especificado realizar todas las acciones con claves en el compartimento especificado, que deben ser el mismo compartimento que el compartimento de almacén:
    Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF
  • La siguiente política permite al servicio Block Volume mostrar, ver y realizar operaciones criptográficas con todas las claves del compartimento especificado:
    Allow service blockstorage to use keys in compartment CompartmentDEF