Introduction au service de conseils sur la sécurité
Avant de créer des ressources sécurisées à l'aide d'Oracle Cloud Infrastructure Security Advisor, effectuez les tâches préalables suivantes.
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous n'êtes pas autorisé, vérifiez avec l'administrateur de la location quel type d'accès vous avez et dans quel compartiment utiliser.
Pour plus d'informations sur le fonctionnement des politiques, voir Fonctionnement des politiques.
Politiques IAM requises pour créer des seaux
- La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux seaux et aux objets dans le compartiment indiqué :
Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC - La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux chambres fortes dans le compartiment indiqué, qui peut ne pas être le même compartiment que celui du seau. (Si vous préférez, vous pouvez écrire une politique qui accorde plutôt l'autorisation
use vaults. Avec cette autorisation, le groupe spécifié peut utiliser des chambres fortes existantes, mais ne peut pas en créer de nouvelles.)Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF - La politique suivante permet au groupe spécifié d'exécuter toutes les opérations liées aux clés dans le compartiment indiqué, qui doit être le même compartiment que celui de la chambre forte :
Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF - La politique suivante permet au service de stockage d'objets de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment spécifié :
Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEFDans l'exemple précédent, remplacez <region_name> par l'identificateur de région approprié, par exemple :
-
objectstorage-us-phoenix-1 -
objectstorage-us-ashburn-1 -
objectstorage-eu-frankfurt-1 -
objectstorage-uk-london-1 -
objectstorage-ap-tokyo-1
Pour identifier la valeur du nom de région d'une région Oracle Cloud Infrastructure, voir À propos des régions et des domaines de disponibilité.
-
Politiques IAM requises pour créer des systèmes de fichiers
- La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux systèmes de fichiers et aux cibles de montage dans le compartiment indiqué :
Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC - La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux chambres fortes dans le compartiment indiqué, qui peut ne pas être le même compartiment que celui du système de fichiers. (Si vous préférez, vous pouvez écrire une politique qui accorde plutôt l'autorisation
use vaults. Avec cette autorisation, le groupe spécifié peut utiliser des chambres fortes existantes, mais ne peut pas en créer de nouvelles.)Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF - La politique suivante permet au groupe spécifié d'exécuter toutes les opérations liées aux clés dans le compartiment indiqué, qui doit être le même compartiment que celui de la chambre forte :
Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF - Le groupe et la politique suivants permettent aux systèmes de fichiers du service de stockage de fichiers de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment spécifié.
-
Créez un groupe dynamique pour les systèmes de fichiers avec une règle telle que :
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' } -
Créez une politique qui donne au groupe dynamique de systèmes de fichiers l'accès nécessaire pour utiliser les clés secrètes du service de chambre forte :
allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF -
En plus de créer des politiques pour l'accès au principal de ressource, l'utilisateur du service File Storage doit disposer de l'accès pour lire les clés à l'aide d'une politique telle que :
allow service FssOcNProd to use keys in compartment <compartment_name>Le nom de l'utilisateur du service Stockage de fichiers dépend de votre domaine. Pour les domaines avec des numéros de clé de domaine de 10 ou moins, le modèle pour l'utilisateur du service de stockage de fichiers est
FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines avec un numéro de clé de domaine supérieur à 10 ont un utilisateur du servicefssocprod. Pour plus d'informations sur les domaines, voir À propos des régions et des domaines de disponibilité.
-
Politiques IAM requises pour créer des instances de calcul
- La politique suivante permet au groupe spécifié de lister et d'utiliser tous les composants du service Réseau dans le compartiment spécifié. Cela inclut les réseaux en nuage virtuels, les sous-réseaux, les passerelles, les circuits virtuels, les listes de sécurité, les tables de routage, etc.
Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC - La politique suivante permet au groupe spécifié de créer et de gérer les images d'instance dans le compartiment spécifié :
Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC - La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux chambres fortes dans le compartiment indiqué, qui peut ne pas être le même compartiment que celui de l'instance. (Si vous préférez, vous pouvez écrire une politique qui accorde plutôt l'autorisation
use vaults. Avec cette autorisation, le groupe spécifié peut utiliser des chambres fortes existantes, mais ne peut pas en créer de nouvelles.)Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF - La politique suivante permet au groupe spécifié d'exécuter toutes les opérations liées aux clés dans le compartiment indiqué, qui doit être le même compartiment que celui de la chambre forte :
Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF - La politique suivante permet au service de volumes par blocs de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment spécifié. Le service de volumes par blocs est responsable du volume de démarrage attaché à l'instance.
Allow service blockstorage to use keys in compartment CompartmentDEF
Politiques IAM requises pour créer des volumes par blocs
- La politique suivante permet au groupe spécifié d'exécuter toutes les opérations liées aux volumes de stockage par blocs, aux sauvegardes de volume et aux groupes de volumes dans le compartiment indiqué :
Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC - La politique suivante permet au groupe spécifié d'effectuer toutes les opérations liées aux chambres fortes dans le compartiment indiqué, qui peut ne pas être le même compartiment que celui du volume. (Si vous préférez, vous pouvez écrire une politique qui accorde plutôt l'autorisation
use vaults. Avec cette autorisation, le groupe spécifié peut utiliser des chambres fortes existantes, mais ne peut pas en créer de nouvelles.)Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF - La politique suivante permet au groupe spécifié d'exécuter toutes les opérations liées aux clés dans le compartiment indiqué, qui doit être le même compartiment que celui de la chambre forte :
Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF - La politique suivante permet au service de volumes par blocs de lister, de voir et d'effectuer des opérations cryptographiques avec toutes les clés dans le compartiment spécifié.
Allow service blockstorage to use keys in compartment CompartmentDEF