Documentation sur Oracle Cloud Infrastructure

Création d'une instance de machine virtuelle sécurisée

Utilisez Security Advisor pour créer une instance de machine virtuelle sécurisée dans le service de calcul. Dans ce contexte, une instance sécurisée est dotée d'un volume de démarrage qui est chiffré avec une clé gérée par le client et répond donc aux exigences de sécurité minimales établies par les zones de sécurité.

En plus de créer l'instance et le volume de démarrage associé, vous créez la clé du service de chambre forte à utiliser pour chiffrer le volume, puis vous affectez la clé au volume. (Vous ne pouvez pas utiliser Security Advisor pour affecter des clés de chiffrement existantes, mais vous pouvez utiliser une chambre forte existante pour créer une nouvelle clé.)

L'utilisation de Security Advisor pour créer une instance de machine virtuelle présente les limitations suivantes.

  • Vous ne pouvez pas configurer d'adresses IP privées ou publiques pour une instance.
  • Vous ne pouvez pas modifier la version de l'image. La dernière version est toujours utilisée.
  • Vous ne pouvez pas créer l'instance sur un hôte de machine virtuelle dédié, ce qui vous permet d'exécuter l'instance de manière isolée afin qu'elle ne s'exécute pas sur une infrastructure partagée.
  • Vous ne pouvez pas spécifier les paramètres de performance du volume de démarrage.
  • Vous ne pouvez pas utiliser le service de conseils sur sécurité pour générer des clés SSH pour vous connecter à l'instance à distance à l'aide de Secure Shell (SSH). Vous devez générer des clés SSH et disposer de la clé publique lors de la création de l'instance.

D'autres considérations relatives à la sécurité existent en dehors de Security Advisor, telles que l'utilisation des ressources après leur création. Nous vous encourageons à en apprendre davantage sur les fonctionnalités de sécurité et les meilleures pratiques du service de calcul et du service de volumes par blocs, puis à les mettre en oeuvre à l'aide des nouvelles ressources. Pour plus d'informations, voir Sécurisation du service de calcul, Sécurisation du service de volume par blocs et Meilleures pratiques pour vos instances de calcul.

Utilisation de la console

Avant de créer une instance sécurisée, vous devez disposer des autorisations requises et un réseau en nuage virtuel (VCN) doit exister.

  1. Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Service de conseils sur la sécurité.
  2. Cliquez sur Créer une instance sécurisée.
  3. Vérifiez les préalables au démarrage, puis cliquez sur Suivant.
  4. Dans la page Sélectionner une chambre forte, sélectionnez l'une des options suivantes.
    • Pour créer une clé de chiffrement principale dans une chambre forte existante, sélectionnez Choisir une chambre forte existante.
    • Pour créer une clé de chiffrement principale dans une chambre forte, sélectionnez Créer une chambre forte.
  5. Selon votre choix à l'étape précédente, effectuez l'une des actions suivantes.
    • Si vous avez choisi d'utiliser une chambre forte existante, sélectionnez le compartiment dans lequel réside la chambre forte, puis sélectionnez la chambre forte.
    • Si vous choisissez de créer une chambre forte, sélectionnez le compartiment dans lequel vous souhaitez créer la chambre forte, puis entrez un nom d'affichage pour identifier la chambre forte. Évitez d'entrer des informations confidentielles. Si nécessaire, définissez la chambre forte en tant que chambre forte privée virtuelle en cochant la case Définir en tant que chambre forte privée virtuelle. Pour plus d'informations sur les types de chambre forte, voir Concepts relatifs à la gestion des clés et des clés secrètes.
  6. Cliquez sur Suivant.
  7. Dans la page Créer une clé, entrez un nom pour identifier la clé.

    Évitez d'entrer des informations confidentielles.

    La valeur de forme de la clé : Longueur est fixée à 256 bits pour maximiser la sécurité en fonction de la longueur de la clé.

    La valeur de Forme de la clé : Algorithme est réglée à Advanced Encryption Standard (AES).

  8. (Facultatif) Si vous utilisez une chambre forte existante et que vous voulez importer du matériel de clé pour créer une clé, sélectionnez la case Importer une clé externe.

    Vous devez d'abord générer le matériel de clé et l'encapsuler à l'aide de la clé d'encapsulation publique d'une chambre forte. Cette option n'est pas disponible lors de la création d'une chambre forte. Pour plus d'informations sur l'importation de clés, voir Importation de clés et de versions de clé.

  9. Pour appliquer des marqueurs à la clé, cliquez sur Show Tagging Options.
  10. Cliquez sur Suivant.
  11. Dans la page Créer une instance de calcul, spécifiez les attributs de l'instance .
    • Nom : Entrez un nom d'affichage pour l'instance. Le système génère un nom par défaut qui reflète l'année, le mois, le jour et l'heure courants, à l'aide du format instance-YYYYMMDD-HHMM. Facultativement, modifiez le nom par défaut. Le nom n'a pas besoin d'être unique car l'identificateur Oracle Cloud (OCID) identifie de manière unique l'instance. Évitez d'entrer des informations confidentielles.
    • Créer dans le compartiment : Sélectionnez le compartiment dans lequel créer l'instance. Il n'est pas nécessaire que ce soit le même compartiment que celui de la chambre forte et de la clé.
    • Image or Operating System: By default, an Oracle Linux 7.x image  is used to boot the instance. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une image différente.
    • Domaine de disponibilité : Sélectionnez le domaine de disponibilité dans lequel créer l'instance.
    • Forme : La forme par défaut pour la combinaison de l'image et du domaine de disponibilité sélectionnée. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une forme différente. Pour plus d'informations sur les formes, voir Formes du service de calcul.
  12. Dans la section Configurer le réseau, configurez les détails du réseau pour l'instance.
    • Sélectionner un réseau en nuage virtuel : Sélectionnez le réseau dans lequel créer l'instance. Vous ne pouvez sélectionner qu'un VCN existant. Vous ne pouvez pas utiliser le service de conseils sur la sécurité pour créer un nouveau VCN. Pour utiliser un VCN dans un autre compartiment, cliquez sur Changer de compartiment, puis sélectionnez un autre compartiment.
    • Sélectionner un sous-réseau : Sous-réseau du VCN auquel attacher l'instance. Les sous-réseaux sont publics ou privés. Privé signifie que les instances de ce sous-réseau ne peuvent pas avoir d'adresses IP publiques. Pour une instance plus sécurisée, nous vous recommandons de choisir un sous-réseau privé. Pour plus d'informations, voir Accès à Internet. Les sous-réseaux sont spécifiques à un domaine de disponibilité ou régionaux (les sous-réseaux régionaux ont "régional" après le nom). Nous recommandons d'utiliser des sous-réseaux régionaux.

      Par défaut, lorsque vous créez une instance dans un sous-réseau public, vous pouvez facultativement affecter une adresse IP publique à l'instance. Une adresse IP publique rend l'instance accessible sur Internet. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une adresse IP publique.

  13. Dans la section Volume de démarrage, configurez les options de taille et de chiffrement pour le volume de démarrage de l'instance.
    • Pour spécifier une taille personnalisée pour le volume de démarrage, sélectionnez la case à cocher spécifier un volume de démarrage personnalisé. Entrez ensuite une taille personnalisée comprise entre 50 et 32,768 Go (32 To). La taille spécifiée doit être supérieure à la taille du volume de démarrage par défaut pour l'image sélectionnée. Pour plus d'informations, voir Tailles de volume de démarrage personnalisées.
    • Pour chiffrer les données pendant qu'elles sont en transit entre l'instance et le volume de démarrage attaché, cochez la case Utiliser le chiffrement en transit. La clé de chiffrement du service de chambre forte que vous utilisez pour chiffrer les données du volume de démarrage au repos est également utilisée pour le chiffrement en transit. Pour plus d'informations, voir Chiffrement des volumes par blocs. Les zones de sécurité exigent que les données soient chiffrées en transit. Vous devez donc cocher cette case pour respecter les exigences en matière de zone de sécurité.
  14. Dans la section Ajouter des clés SSH, sélectionnez l'une des options suivantes :
    • Sélectionner des fichiers de clé SSH : Chargez la partie clé publique de la paire de clés. Recherchez le fichier de clés à charger ou faites-le glisser dans la zone. Pour fournir de nombreuses clés, appuyez sur la touche Commande (sous Mac) ou Ctrl (sous Windows) et maintenez-la pendant la sélection des fichiers.
    • Coller les clés SSH : Collez la partie clé publique de la paire de clés dans la zone.
    • Aucune clé SSH : Si vous ne fournissez pas de clé SSH, vous ne pouvez pas vous connecter à l'instance à l'aide du protocole SSH.
    Important

    Pour utiliser une paire de clés générée par OCI, accédez à l'instance à partir d'un système où OpenSSH est installé. OpenSSH est inclus par défaut dans toutes les versions courantes de Linux, MacOS, Windows et Windows Server. Pour plus d'informations, voir Gestion des paires de clés sur des instances Linux.
  15. (Facultatif) Pour appliquer des marqueurs à l'instance, cliquez sur Afficher les options de marquage.

    Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

  16. Cliquez sur Suivant.
  17. (Facultatif) Pour enregistrer cette configuration en tant que pile dans le gestionnaire de ressources, cliquez sur Enregistrer en tant que pile.

    Pour plus d'informations, voir Création d'une pile à partir d'une page de création de ressource.

  18. Vérifiez le sommaire des ressources créées par le service de conseils sur la sécurité, puis cliquez sur Créer une instance sécurisée.