Aperçu du service de conseils sur la sécurité
Le service de conseils sur la sécurité pour Oracle Cloud Infrastructure prend en charge et renforce les meilleures pratiques de sécurité d'Oracle, notamment les exigences de configuration des ressources dans les zones de sécurité. Il combine et rationalise les flux de travail existants pour créer efficacement des ressources qui répondent dès le départ aux exigences de sécurité de base.
Plus précisément, vous pouvez affecter une nouvelle clé de chiffrement gérée par le client à une ressource au moment de la création de la ressource, même si vous n'avez jamais créé de chambre forte ou de clé de chiffrement auparavant. Dans la mesure du possible, les zones de sécurité nécessitent un chiffrement à l'aide de clés gérées par le client. Comme personne d'autre qu'un utilisateur autorisé ne peut accéder aux clés, les données sensibles ne peuvent être déchiffrées et lues que par les utilisateurs explicitement autorisés à le faire.
Des flux de travail rationalisés réduisent la complexité et facilitent la prise de décision. Là où vous auriez autrement dû choisir entre plusieurs options de configuration, le service de conseils sur la sécurité n'offre que l'option la plus sécurisée. Par exemple, le service de conseils sur la sécurité vous permet uniquement de créer des clés de chiffrement principales d'une longueur de 256 bits. Les clés de chiffrement plus longues offrent une sécurité supérieure à celle des clés plus courtes.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure est intégré avec le service GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).
Un administrateur de votre organisation doit configurer des groupes, des compartiments et des politiques qui contrôlent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Par exemple, les politiques contrôlent qui peut créer des utilisateurs, créer et gérer le réseau en nuage, lancer des instances, créer des seaux, télécharger des objets, etc. Pour plus d'informations, voir Gestion des domaines d'identité. Pour des détails précis sur l'écriture de politiques pour les différents services, voir Informations de référence sur les politiques.
Si vous êtes un simple utilisateur (pas un administrateur) qui doit utiliser les ressources Oracle Cloud Infrastructure de votre société, demandez à l'administrateur de configurer un ID utilisateur pour vous. L'administrateur peut confirmer les compartiments que vous devez utiliser.
Le service de conseils de sécurité tire parti des fonctionnalités des flux de travail existants, de sorte que la location n'ait pas besoin de nouvelles politiques pour accorder des autorisations au-delà de celles déjà en place. Pour vous en assurer, vous pouvez comparer les politiques existantes de la location avec les exemples d'autorisations décrits dans le flux de travail choisi. En particulier, confirmez que vous avez des politiques qui accordent l'accès aux ressources du service de chambre forte, surtout si vous n'avez pas utilisé le service auparavant.
Les exemples d'énoncés de politique permettent aux groupes spécifiés d'effectuer toutes les opérations autorisées par le service de conseils de sécurité. Si, à la place, vous voulez limiter la création de nouvelles chambres fortes, vous pouvez écrire une politique qui accorde uniquement l'autorisation d'utiliser des chambres fortes, plutôt que le niveau d'accès requis pour gérer les chambres fortes. Avec l'autorisation d'utiliser des chambres fortes, un utilisateur peut sélectionner une chambre forte existante, mais ne peut pas en créer une nouvelle. Cela ne modifie pas les options présentées par le service de conseils sur la sécurité, mais a une incidence sur la réussite de toutes les opérations lors de leur soumission.
Régions et domaines de disponibilité
Vous pouvez utiliser le service de conseils sur la sécurité dans toutes les régions commerciales d'Oracle Cloud Infrastructure. Pour obtenir la liste des régions, avec les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité, voir À propos des régions et des domaines de disponibilité.
Chaque service intégré au service de conseils sur la sécurité comporte un point d'extrémité régional unique pour toutes les opérations d'API, à l'exception d'un. Le service de chambre forte a un point d'extrémité régional pour le service de provisionnement qui traite les opérations de création, de mise à jour et de liste pour les chambres fortes. Pour créer, mettre à jour et lister des opérations pour les clés, les points d'extrémité de service sont répartis dans plusieurs grappes indépendantes.
Limites appliquées aux ressources
Le service de conseils de sécurité n'introduit pas de ressources et n'impose pas de restrictions au niveau de l'utilisation des ressources. Toutefois, le service de conseils sur la sécurité respecte les limites établies par les autres services.
Pour la liste des limites applicables et les instructions pour demander l'augmentation d'une limite, voir Limites de service. Pour définir des limites propres à une ressource ou à une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.
Pour apprendre à consulter votre niveau d'utilisation par rapport aux limites de ressources de la location, voir Consultation des limites de service, des quotas et de l'utilisation. Pour les chambres fortes, vous pouvez également obtenir l'utilisation de chaque chambre forte individuelle par rapport aux limites des clés en affichant le nombre de clés et de versions de clés dans les détails de la chambre forte.