Documentation sur Oracle Cloud Infrastructure

Sécurité de la surveillance

Cette rubrique fournit des informations de sécurité et des recommandations relatives au service de surveillance pour Oracle Cloud Infrastructure.

Responsabilités en matière de sécurité

Pour utiliser le service de surveillance en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

  • Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.

Tâches de sécurité initiales

Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser le service de surveillance dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Utiliser les politiques GIA pour accorder l'accès aux utilisateurs et aux ressources Politiques GIA

Tâches de sécurité régulières

Après avoir commencé à utiliser le service de surveillance, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Le service de surveillance ne comporte aucune tâche de sécurité que vous devez effectuer régulièrement.

Politiques GIA

Utilisez des politiques pour limiter l'accès au service de surveillance.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.

Pour plus d'informations sur les politiques du service de surveillance, voir Informations détaillées sur les vérifications d'état.

Accès aux alarmes pour les groupes

Obtenir les détails et l'historique de l'alarme

Créez cette politique pour permettre à un groupe d'obtenir les détails de l'alarme et d'obtenir l'historique des alarmes. La ligne read metrics est requise pour obtenir l'historique des alarmes.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gérer les alarmes

Créez cette politique pour permettre à un groupe de gérer les alarmes, à l'aide de flux et de sujets existants pour les avis. Cette politique ne permet pas la création de nouveaux sujets.

Note

Pour limiter le groupe aux autorisations requises pour sélectionner des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gérer les alarmes et créer des sujets

Créez cette politique pour permettre à un groupe de gérer les alarmes, notamment la création de sujets (et d'abonnements) pour les avis (et l'utilisation de flux pour les avis).

Note

Pour limiter le groupe aux autorisations requises pour sélectionner des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les groupes

Lister les définitions des mesures

Créez cette politique pour permettre à un groupe de lister les définitions de mesure d'un compartiment.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Mesures d'interrogation

Créez cette politique pour permettre à un groupe d'interroger des mesures dans un compartiment.

Allow group <group_name> to read metrics in compartment <compartment_name>

Interroger les mesures d'un espace de noms de mesure

Créez cette politique pour permettre à un groupe d'interroger des mesures dans un compartiment, limité à un espace de noms de mesure.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Publier les mesures personnalisées

Créez cette politique pour permettre à un groupe de publier des mesures personnalisées dans un espace de noms de mesure, de voir les données de mesure, de créer des alarmes et des sujets, et d'utiliser des flux avec des alarmes.

Note

Pour limiter le groupe aux autorisations requises pour sélectionner des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les ressources

Si vous voulez que des instances de calcul ou d'autres ressources surveillent des mesures au moyen d'appels d'API, procédez de la façon suivante.

Pour plus d'informations sur les instances de calcul appelant des API, voir Appel de services à partir d'une instance.

  1. Ajoutez les ressources à un groupe dynamique à l'aide de ses règles de correspondance.

  2. Créez une politique qui permet à ce groupe dynamique d'accéder aux mesures.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Accès aux mesures interlocation

Utilisez l'accès aux mesures interlocation pour partager les mesures avec une autre organisation qui a sa propre location. Par exemple, partagez des mesures avec une autre unité d'affaires de votre société, un client de votre société ou une société qui fournit des services à votre société.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des énoncés de politique spéciaux indiquant explicitement les ressources accessibles et pouvant être partagées. Ces énoncés spéciaux utilisent les verbes Define, Endorse et Admit. Pour plus d'informations sur ces énoncés, voir Politiques d'accès interlocation.

Instructions de politique de location source

Les administrateurs de la location source et cible créent des énoncés de politique qui endossent un groupe IAM source autorisé à gérer les ressources de la location de destination.

Exemple : Endossez MetricsAdminsUserGroup pour effectuer n'importe quoi avec n'importe quelle ressource de mesure dans n'importe quelle location :

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Pour écrire une politique qui réduit la portée de l'accès de la location, l'administrateur source doit référencer l'OCID de la location de destination fourni par l'administrateur de destination.

Exemple : Endossez MetricsAdminsUserGroup pour lire les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Pour permettre à un groupe de publier des mesures vers la location de destination, utilisez le verbe manage :

Exemple : Endossez MetricsAdminsUserGroup pour gérer les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Exemple : Endossez un groupe dynamique (MetricsAdminsDynamicGroup) pour lire les ressources de mesure dans la location de destination :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Énoncés de politique de location de destination

Exemple : Endossez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour effectuer toutes les opérations sur une ressource de mesure de votre location :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Exemple : Endossez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour lire les ressources de mesures dans le compartiment SharedMetrics uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Exemple : Endossez un groupe dynamique (MetricsAdminsDynamicGroup) dans la location source (MetricsAdminsDynamicGroupInSource) pour lire uniquement les ressources de mesure dans le compartiment SharedMetrics :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics