Requisitos
Realice estas tareas antes de activar Oracle Cloud Guard.
Cloud Guard no está disponible para los arrendamientos gratuitos de Oracle Cloud Infrastructure. Antes de intentar activar Cloud Guard, asegúrese de:
- Tiene un arrendamiento de pago.
- El tipo de cuenta de arrendamiento es uno de estos:
- default_dbaas
- enterprise_dbaas
- empresa
Creación del grupo de usuarios de Cloud Guard
Para permitir que los usuarios trabajen con Cloud Guard, cree un grupo de usuarios con privilegios de administrador.
Cloud Guard maneja información relacionada con la seguridad a nivel global y debe estar disponible para un público restringido.
Siguiente
Agregue usuarios de Cloud Guard al grupo que creó.
Si tiene previsto utilizar un proveedor de identidad (IdP), como Oracle Identity Cloud Service, para la autenticación federada de los usuarios, debe asignar el grupo de proveedores de identidad al grupo de IAM de OCI que ha creado. Consulte Gestión de usuarios de Oracle Identity Cloud Service en la consola para conocer los pasos que se deben seguir para utilizar Oracle Identity Cloud Service.
Sentencias de políticas para los usuarios
Agregue una sentencia de política que permita al grupo de usuarios de Cloud Guard que ha definido gestionar los recursos de Cloud Guard.
Puede encontrar todas las políticas necesarias para activar Cloud Guard en el tema Políticas comunes de Oracle Cloud Infrastructure Identity and Access Management (IAM). En esa página, busque "Cloud Guard" y amplíe las cuatro listas que encuentre.
Para obtener información detallada sobre las políticas individuales de Cloud Guard, consulte Políticas de Cloud Guard.
Para gestionar los recursos de Cloud Guard, agregue la siguiente sentencia de política para brindar la capacidad a todos los usuarios del grupo CloudGuardUsers
. Sustituya el nombre por aquel que asignó al grupo si no lo denominó CloudGuardUsers
.
allow group CloudGuardUsers to manage cloud-guard-family in tenancy
Con esta política en vigor, los usuarios que agregue al grupo de usuarios de Cloud Guard podrán ahora continuar con la Activación de Cloud Guard.
Si por algún motivo decide no agregar la sentencia de política exacta anterior, debe agregar la siguiente sentencia de política como requisito mínimo para permitir que los usuarios accedan a Cloud Guard:
allow group CloudGuardUsers to use cloud-guard-config in tenancy
Basándose en las funciones de seguridad típicas que pueden existir en una organización, Cloud Guard soporta los siguientes roles de administrador. Cada rol tiene unos nombres de recursos de IAM correspondientes y unas políticas que puede utilizar para controlar el acceso a las funciones de Cloud Guard.
Rol de administrador | Funciones de Cloud Guard | Recursos de permisos de IAM | Funciones accesibles |
---|---|---|---|
Propietario del servicio (root o superadministrador) |
|
nube-guarda-familia | Gestionar cloud-guard-family en el arrendamiento |
Arquitecto de seguridad (analista de seguridad) |
|
cloud-guard-detectors cloud-guard-targets cloud-guard-detector-recipes cloud-guard-responder-recipes cloud-guard-managed-lists cloud-guard-problems cloud-guard-risk-scores cloud-guard-security-scores |
Gestionar/inspeccionar/leer* estos recursos en el arrendamiento/compartimento |
Administrador de operaciones de seguridad |
|
cloud-guard-problems | Gestionar/inspeccionar/leer* problemas de Cloud Guard |
* Lectura frente a inspección: la lectura permite ver los detalles de los problemas que se muestran; la inspección solo permite ver la lista de problemas. El permiso de lectura es un superjuego del permiso de inspección.
Asegúrese de que solo el administrador raíz puede suprimir destinos.
Los casos de uso que se muestran en la siguiente tabla buscan proporcionar ejemplos de los roles de administrador y las políticas de IAM que puede configurar para soportarlos.
Casos prácticos | Políticas mínimas necesarias | Funciones permitidas y no permitidas | Permisos | Autorización |
---|---|---|---|---|
Acceso de solo lectura a los datos y la configuración de Cloud Guard en todos los compartimentos | El administrador puede crear un grupo especial, como cgreadgroup, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
|
Permitidas: leer las páginas Visión general, Problemas, Detectores, Destinos y Actividad de responsable de respuesta. No permitidas: editar o clonar recetas de detector, crear destinos, suprimir recetas de destinos y crear listas gestionadas. |
Página Visión general - Lectura: | Sí |
Problemas - Lectura: | Sí | |||
Problemas - Gestión: | No | |||
Problemas - Solución: | No | |||
Destinos - Lectura: | Sí | |||
Destinos - Gestión: | No | |||
Recetas/reglas de detectores - Lectura: | Sí | |||
Recetas/reglas de detectores - Gestión: | No | |||
Actividad de responsable de respuesta - Lectura: | Sí | |||
Acceso de solo lectura a los datos y la configuración de Cloud Guard en un compartimento | El administrador puede crear un grupo especial, como cggroupcomptonly , agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas ('OCIDemo' es el nombre del compartimento en este caso):
|
Permitidas: leer los datos únicamente del compartimento especificado en las páginas Visión general, Problemas, Detectores y Destinos. No permitidas: leer los datos del resto de compartimentos en esas páginas. |
Página Visión general - Lectura: | Sí |
Problemas - Lectura: | Sí | |||
Problemas - Gestión: | No | |||
Problemas - Solución: | No | |||
Destinos - Lectura: | Sí | |||
Destinos - Gestión: | No | |||
Recetas y reglas de detectores - Lectura: | Sí | |||
Recetas y reglas de detectores - Gestión: | No | |||
Actividad de responsable de respuesta - Lectura: | Sí | |||
Acceso de solo lectura a las recetas de detector de Cloud Guard | El administrador puede crear un grupo especial, como cgreaddetrecipes, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
|
Permitidas: leer las páginas de las recetas y reglas de detector. No permitidas: clonar o suprimir recetas, gestionar las reglas de una receta, ver páginas que no sean las de Detectores y Responsables de respuesta. |
Página Visión general - Lectura: | No |
Problemas - Lectura: | No | |||
Problemas - Gestión: | No | |||
Problemas - Solución: | No | |||
Destinos - Lectura: | No | |||
Destinos - Gestión: | No | |||
Recetas y reglas de detectores - Lectura: | Sí | |||
Recetas y reglas de detectores - Gestión: | No | |||
Actividad de responsable de respuesta - Lectura: | No | |||
Acceso de solo lectura a los problemas de Cloud Guard, exceptuando la puntuación de seguridad y la puntuación de riesgo | El administrador puede crear un grupo especial, como cgreadproblems, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
|
Permitidas en la página Visión general, ver:
No permitidas en la página Visión general, acceso a:
El acceso al resto de páginas tampoco está permitido. |
Página Visión general - Lectura: (limitado a la instantánea de problemas, los problemas agrupados por..., los problemas de actividad de usuario y la línea de tendencia de nuevos problemas) |
Sí |
Problemas - Lectura: | No | |||
Problemas - Gestión: | No | |||
Problemas - Solución: | No | |||
Destinos - Lectura: | No | |||
Destinos - Gestión: | No | |||
Recetas y reglas de detectores - Lectura: | No | |||
Recetas y reglas de detectores - Gestión: | No | |||
Actividad de responsable de respuesta - Lectura: | No | |||
Acceso de solo lectura a los problemas de Cloud Guard, incluidas la puntuación de seguridad y la puntuación de riesgo | El administrador puede crear un grupo especial de usuarios como en la fila anterior, con las políticas detalladas ahí, y, a continuación, agregar las siguientes políticas:
|
Permitidas en la página Visión general, ver:
No permitidas en la página Visión general, acceso a:
El acceso al resto de páginas tampoco está permitido. |
Página Visión general - Lectura: (limitado a la puntuación de seguridad, la puntuación de riesgo, la instantánea de problemas, los problemas agrupados por..., los problemas de actividad de usuario y la línea de tendencia de nuevos problemas) |
Sí |
Problemas - Lectura: | No | |||
Problemas - Gestión: | No | |||
Problemas - Solución: | No | |||
Destinos - Lectura: | No | |||
Destinos - Gestión: | No | |||
Recetas y reglas de detectores - Lectura: | No | |||
Recetas y reglas de detectores - Gestión: | No | |||
Actividad de responsable de respuesta - Lectura: | No |
En la siguiente tabla, se resumen los permisos de Cloud Guard que están disponibles.
Permiso | Objetivo | Ámbito necesario | Notas |
---|---|---|---|
cloud-guard-family |
Recopila todos los permisos que existen para Cloud Guard en un solo permiso. El uso de cualquiera de los metaverbos |
arrendamiento o compartimento |
Nombre de permiso común para todos los permisos. |
cloud-guard-detectors |
Ya no se necesita. Los datos estáticos están disponibles sin autorización. |
NA |
No se utiliza en la consola. |
cloud-guard-targets |
Necesario para poder ver y gestionar los datos del destino del compartimento o arrendamiento. El metaverbo El metaverbo El metaverbo El metaverbo Recomendado: defina el ámbito de este permiso en un compartimento para permitir que el usuario realice operaciones únicamente dentro de ese compartimento. |
arrendamiento o compartimento |
Los datos se utilizan en la página Destinos y también para rellenar el campo desplegable para filtrar la página Problemas. |
cloud-guard-config |
Necesario para poder ver la configuración de Cloud Guard del arrendamiento. Sin este permiso, los usuarios no pueden ver la página Visión general ni ninguna otra página de Cloud Guard. Se les redirige a la página Activar de Cloud Guard. El metaverbo Los metaverbos |
arrendamiento |
Estos datos se utilizan para identificar el estado de Cloud Guard y los detalles de la región de informe. Todas las llamadas posteriores de la consola se redirigen a la región de informe para realizar operaciones de CRUDL. La región de informe configurada se muestra en la página Configuración. |
cloud-guard-managed-lists |
Necesario para poder ver y gestionar los datos de la lista gestionada del compartimento o arrendamiento. El metaverbo El metaverbo El metaverbo El metaverbo |
arrendamiento o compartimento |
Los datos se utilizan en la página Listas gestionadas y también para rellenar los valores que asocian una lista gestionada a grupos condicionales o a ajustes que se encuentran en destinos, recetas de detector o recetas de responsable de respuesta. |
cloud-guard-problems |
Necesario para poder ver y realizar acciones en los problemas del compartimento o arrendamiento. El metaverbo Si la intención es poder ver los detalles de los problemas, será necesario el metaverbo Los metaverbos |
arrendamiento o compartimento |
Los datos se utilizan en la página Problemas y también en la página Visión general para rellenar estos paneles:
La página Visión general requiere mínimamente el metaverbo |
cloud-guard-detector-recipes |
Necesario para poder ver y gestionar los datos de la receta de detector del compartimento o arrendamiento. Si los usuarios necesitan clonar recetas gestionadas por Oracle que se encuentran en el compartimento raíz, se necesita el metaverbo El metaverbo El metaverbo El metaverbo |
arrendamiento o compartimento |
Los datos se utilizan en la página Recetas de detector y también para rellenar la lista de selección que se utiliza al asociar la receta de detector a un destino. |
cloud-guard-responder-recipes |
Necesario para poder ver y gestionar los datos de una receta de responsable de respuesta del compartimento o arrendamiento. Si los usuarios necesitan clonar recetas gestionadas por Oracle que se encuentran en el compartimento raíz, se necesita el metaverbo El metaverbo El metaverbo El metaverbo |
arrendamiento o compartimento |
Los datos se utilizan en la página Recetas de responsable de respuesta y también para rellenar la lista de selección que aparece al asociar una receta de responsable de respuesta a un destino. |
cloud-guard-responder-executions |
Necesario para poder ver y gestionar los datos de la actividad del responsable de respuesta del compartimento o arrendamiento. El metaverbo El metaverbo Los metaverbos |
arrendamiento o compartimento |
En el caso del metadispositivo
En el caso del metadispositivo
En el caso de los metaverbos
|
cloud-guard-recommendations |
Necesario para poder ver las recomendaciones que mejoran la puntuación de riesgo y la puntuación de seguridad asociadas al arrendamiento. El metaverbo |
arrendamiento o compartimento |
Estos datos se pueden ver en la página Visión general, en el panel Recomendaciones de seguridad. |
cloud-guard-user-preferences |
Necesario para poder gestionar las preferencias de usuario en la consola de Cloud Guard. Actualmente se utiliza para gestionar el estado de la visita guiada para el usuario conectado. Al guardar la preferencia del usuario, se omite la solicitud de completar la visita guiada en las conexiones posteriores. El metaverbo Los metaverbos |
arrendamiento |
Estos datos se pueden ver en la sección Visita guiada de la página Configuración. |
cloud-guard-risk-scores |
Necesario para poder ver los datos de la puntuación de riesgo del arrendamiento. Sin este permiso, los usuarios no pueden ver la puntuación de riesgo asociada al arrendamiento. El metaverbo |
arrendamiento |
Estos datos se pueden ver en la página Visión general, en el panel Puntuación de riesgo. |
cloud-guard-security-scores |
Necesario para poder ver la calificación de la puntuación de seguridad del arrendamiento. Sin este permiso, los usuarios no pueden ver la puntuación de seguridad asociada al arrendamiento. El metaverbo |
arrendamiento |
Estos datos se pueden ver en la página Visión general, en Calificación de puntuación de seguridad y Línea de tendencia de puntuaciones de seguridad. |