1. Supervisión de logs de auditoría para bases de datos de Autonomous Transaction Processing
  2. Protección de la implantación

Protección de la implantación

Para proteger la implantación, debe configurar un secreto de almacén, obtener un identificador de Oracle Cloud de grupo de logs (OCID) y crear las políticas por defecto.

Configurar secretos de Vault

El secreto de almacén se debe crear con la contraseña ATP antes de utilizar esta pila. La contraseña se almacena en Vault para garantizar que su uso no se capture en texto no cifrado en ninguno de los archivos de configuración o estado de Terraform. La creación de un secreto de almacén está más allá del ámbito de este manual. Consulte la documentación de Vault citada en la sección Más de Exlore, a continuación, para obtener información completa sobre la creación y gestión de secretos.

Obtener el OCID del grupo de logs

Para obtener el OCID del grupo de logs, utilice este procedimiento.

  1. Vaya a https://cloud.oracle.com/loganalytics/loggroups.
  2. Seleccionar un grupo de logs existente. Si no existe ninguna, créela.
  3. Abra la vista Log Group Information y, desde allí, copie el OCID del grupo de logs.
    El OCID del grupo de logs debe tener este formato:

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Crear políticas por defecto

Por último, verifique que se hayan creado las políticas por defecto correctas. Estas políticas son:

  1. Grupo dinámico para incluir todos los recursos de un compartimento determinado que coincida con el recurso type = 'managementagent'. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. Una política para permitir que las instancias informáticas activen la asociación automática de entidades y que Management Agent cargue logs en Logging Analytics. Estas políticas se crean en el nivel de arrendamiento.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. un grupo dinámico para seleccionar instancias informáticas que coincidan con el compartimento seleccionado en la pila. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Políticas para permitir la gestión de agentes de gestión, leer secretos y leer bases de datos autónomas aplicadas a instancias informáticas que coinciden con el grupo dinámico del paso anterior. Estas políticas se crean en el nivel de compartimento.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy