1. Surveiller les journaux de vérification pour les bases de données Autonomous Transaction Processing
  2. Sécuriser votre mise en oeuvre

Sécuriser votre mise en oeuvre

Pour sécuriser la mise en oeuvre, vous devez configurer une clé secrète de chambre forte, obtenir un identificateur Oracle Cloud de groupe de journaux (OCID) et créer les politiques par défaut.

Configurer les clés secrètes de chambre forte

La clé secrète de la chambre forte doit être créée avec le mot de passe ATP avant d'utiliser cette pile. Le mot de passe est stocké dans la chambre forte pour garantir que son utilisation n'est saisie en clair dans aucun des fichiers de configuration ou d'état Terraform. La création d'une clé secrète de chambre forte dépasse la portée de ce livre de jeu. Reportez-vous à la documentation sur la chambre forte citée dans la section Explorer plus, ci-dessous, pour obtenir des informations complètes sur la création et la gestion des clés secrètes.

Obtenir l'OCID du groupe de journaux

Pour obtenir l'OCID du groupe de journaux, utilisez cette procédure.

  1. Accédez à https://cloud.oracle.com/loganalytics/loggroups.
  2. Sélectionner un groupe de journaux existant. S'il n'en existe pas, créez-le.
  3. Ouvrez la vue Informations sur le groupe de journaux et copiez l'OCID du groupe de journaux à partir de là.
    L'OCID du groupe de journaux doit avoir le format suivant :

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Créer des politiques par défaut

Enfin, vérifiez que les stratégies par défaut correctes ont été créées. Ces politiques sont les suivantes :

  1. Groupe dynamique qui inclut toutes les ressources d'un compartiment donné correspondant à la ressource type = 'managementagent'. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. une politique permettant aux instances de calcul d'activer l'association automatique d'entités et à l'agent de gestion de charger des journaux dans Logging Analytics. Ces politiques sont créées au niveau de la location.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. un groupe dynamique pour sélectionner les instances de calcul qui correspondent au compartiment sélectionné dans la pile. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Politiques permettant de gérer les agents de gestion, de lire les clés secrètes et de lire la base de données autonome appliquée aux instances de calcul qui correspondent au groupe dynamique de l'étape précédente. Ces politiques sont créées au niveau du compartiment.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy