Sécuriser les groupes de positionnement de grappe
Découvrez les tâches de sécurité et les recommandations relatives aux groupes de positionnement de grappe.
Oracle Cloud Infrastructure Cluster Placement Groups vous permet de créer des ressources dont les besoins en réseau à faible latence sont proches les uns des autres. La colocalisation des ressources peut vous aider à atteindre la latence la plus faible possible. Les groupes de positionnement de grappe prennent en charge le déploiement de ressources dans le même regroupement logique, appelé groupe de positionnement de grappe, pour s'assurer qu'elles sont placées physiquement les unes près des autres dans un domaine de disponibilité.
Responsabilités en matière de sécurité
Pour utiliser les groupes de positionnement de grappe en toute sécurité, renseignez-vous sur vos responsabilités en matière de sécurité et de conformité.
Oracle est responsable des exigences de sécurité suivantes :
- Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :
- Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
Tâches de sécurité initiales
Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser les groupes de positionnement de grappe dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Informations supplémentaires |
|---|---|
| Utiliser les politiques GIA pour accorder l'accès aux utilisateurs et aux ressources | Politiques de groupes de positionnement de grappe |
Tâches de sécurité régulières
Les groupes de positionnement de grappe ne comportent aucune tâche de sécurité que vous devez effectuer régulièrement.
Politiques GIA
Utilisez des politiques pour limiter l'accès aux groupes de positionnement de grappe.
Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.
Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.
Les groupes de positionnement de grappe prennent en charge des variables de stratégie pour restreindre davantage l'accès aux groupes de positionnement de grappe, notamment :
-
target.cluster-placement-group.id- Restreindre l'accès à des groupes de positionnement de grappe spécifiques lors de l'obtention des détails du groupe de positionnement de grappe ou de la liste des groupes de positionnement de grappe, lors de la création, de la mise à jour, de la suppression ou du déplacement de groupes de positionnement de grappe, ou lors du déploiement de ressources dans un groupe de positionnement de grappe. -
target.cluster-placement-group.name- Restreindre l'accès à des groupes de positionnement de grappe spécifiques lors de l'obtention des détails du groupe de positionnement de grappe ou de la liste des groupes de positionnement de grappe, ou lors de la création, de la mise à jour, de la suppression ou du déplacement des groupes de positionnement de grappe.
Nous vous recommandons d'accorder des autorisations DELETE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants. N'accordez les autorisations DELETE qu'aux administrateurs de location et de compartiment.
Lors de l'octroi de l'accès aux groupes de positionnement de grappe, nous vous recommandons d'étendre les autorisations à des compartiments spécifiques. Par exemple, créez la politique suivante pour permettre aux utilisateurs du groupe NetworkAdmins de créer, mettre à jour et supprimer toutes les ressources de groupes de positionnement de grappe dans le compartiment compartmentABC.
Allow group NetworkAdmins to manage cluster-placement-groups in compartmentABCPour plus d'informations sur les politiques de groupes de positionnement de grappe, voir Politiques de groupes de positionnement de grappe.