Documentation sur Oracle Cloud Infrastructure

Sécurisation du marquage

Cette rubrique fournit des informations de sécurité et des recommandations relatives au service Oracle Cloud Infrastructure Tagging.

Responsabilités en matière de sécurité

Pour utiliser le service de marquage en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

  • Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.

Tâches de sécurité initiales

Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser le marquage dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Utiliser les politiques GIA pour accorder l'accès aux utilisateurs et aux ressources Politiques GIA
Gérer les données d'identification à l'aide de clés secrètes Confidentialité

Politiques GIA

Utilisez des politiques pour limiter l'accès au service de marquage.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.

Nous vous recommandons d'accorder des autorisations MANAGE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants. Accordez uniquement les autorisations MANAGE aux administrateurs de marqueur.

Pour gérer les espaces de noms de marqueur et les définitions de marqueur

L'exemple suivant permet à un utilisateur du groupe de gérer un espace de noms de marqueur dans la location.

Allow group GroupA to manage tag-namespaces in tenancy
Pour accorder l'accès à un espace de noms de marqueur

Un utilisateur du groupe A dispose des autorisations requises pour gérer les instances d'un compartiment. Pour que l'utilisateur puisse appliquer un marqueur à une instance d'un compartiment, vous devez ajouter l'énoncé suivant à la politique du groupe A. Cette instruction accorde au groupe l'accès audit espace de noms.

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
Pour accorder l'accès à l'ajout de valeurs par défaut de marqueur
Pour ajouter des valeurs par défaut de marqueur, vous devez disposer des autorisations suivantes :
  • manage tag-defaults pour accéder au compartiment dans lequel vous voulez ajouter la valeur par défaut du marqueur.
  • use tag-namespaces pour accéder au compartiment où réside l'espace de noms de marqueur.
  • inspect tag-namespaces pour accéder à la location.

Pour qu'un groupe nommé GroupA puisse ajouter une valeur par défaut de marqueur à un compartiment nommé CompartmentA où réside le jeu d'espaces de noms de marqueur, écrivez une politique avec les énoncés suivants.

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

Pour plus d'informations sur les politiques de marquage et pour voir d'autres exemples, voir Informations détaillées sur le service IAM sans domaines d'identité.

Contrôle d'accès

En plus de créer des politiques IAM, verrouillez l'accès aux ressources cibles ou à la ressource requérante à l'aide d'un contrôle d'accès basé sur des marqueurs. Le contrôle d'accès basé sur des marqueurs fournit une autre couche de sécurité en limitant et en accordant l'accès à un groupe particulier d'utilisateurs ou de ressources d'un compartiment.

Pour en savoir plus sur cette fonction dans le service de marquage, voir Utilisation de marqueurs pour gérer l'accès

Confidentialité

N'utilisez pas de balises comme méthode de stockage d'informations confidentielles ou sensibles. Utilisez le service de chambre forte pour chiffrer et gérer les clés secrètes.