Documentation Oracle Cloud Infrastructure

Sécurisation d'Oracle Cloud Migrations

Cette rubrique fournit des informations et des recommandations de sécurité pour l'utilisation d'Oracle Cloud Migrations.

Pour collecter les métadonnées des machines virtuelles à partir d'un environnement sur site, le service Oracle Cloud Migrations utilise une appliance d'agent distant (appliance virtuelle) sur votre environnement sur site. L'appliance d'agent distant est exécutée en dehors d'Oracle Cloud Infrastructure (OCI) dans le cadre de votre environnement sur site.

Bien que l'appliance soit distribuée en tant que machine virtuelle scellée et renforcée par rapport à une machine virtuelle standard, elle est moins sécurisée que tous les composants de service exécutés dans un environnement contrôlé par OCI.

Le service Oracle Cloud Migrations utilise d'autres ressources (services) de location OCI de base pour effectuer une migration. Par conséquent, il a besoin de droits d'accès explicites pour interagir avec ces ressources.

Dans les sections suivantes, vous trouverez des informations sur la façon dont vous pouvez :
  • Sécurisez l'accès aux clés secrètes de migration à l'aide d'un compartiment et de stratégies Identity and Access Management (IAM).
  • Sécurisez la communication entre les composants de service de migration et les autres services OCI principaux à l'aide d'un compartiment et de stratégies IAM.

Recommandations de sécurité

L'appareil d'agent distant exécute quelques modules d'extension, tels que la détection ou la réplication. Ces modules d'extension ont besoin d'informations d'identification pour accéder à vos ressources d'environnement sur site et pouvoir effectuer les opérations souhaitées.

Les informations d'identification des modules d'extension sont stockées en tant que clés secrètes dans OCI Vault. Voici les recommandations pour sécuriser l'accès aux clés secrètes de migration et fournir des privilèges pour d'autres services OCI de base.

  • Découvrez et suivez les meilleures pratiques pour organiser et stocker des clés secrètes dans OCI Vault en appliquant le principe du moindre privilège. Créez un compartiment dédié pour stocker les clés secrètes de migration, qui est un compartiment distinct des autres clés secrètes stockées dans OCI Vault.
  • Créez des instructions de stratégie d'identité qui autorisent uniquement les modules d'extension de repérage et de réplication à accéder aux clés secrètes dans le compartiment de clés secrètes de migration.
  • Créez des instructions de stratégies d'identité qui autorisent un accès minimal aux autres services OCI de base nécessaires à l'exécution des tâches de migration.

Exemples de stratégie de sécurité

Voici des exemples de création de stratégies permettant d'accéder aux clés secrètes dans les compartiments de migration.

Organiser les compartiments avec des clés secrètes et laisser le module d'extension de repérage accéder aux clés secrètes

  1. Créez un compartiment désigné pour les clés secrètes de migration, par exemple migration_secrets.

    Reportez-vous à Recommandations pour l'utilisation des compartiments.

  2. Créez un coffre à l'aide du compartiment migration_secrets.
  3. Gestion des clés pour le coffre.

  4. Créez une stratégie qui permet au module d'extension de repérage d'accéder au fichier migration_secrets que vous avez créé.

    Par exemple, le module d'extension de repérage dispose d'un accès en lecture pour migration_secrets.

    Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment migration_secrets

    Pour plus d'informations sur les stratégies de module d'extension de repérage, reportez-vous à Stratégies de service de migration Oracle Cloud.

Organiser les compartiments avec des clés secrètes et laisser le module d'extension de réplication accéder aux clés secrètes

  1. Créez un compartiment désigné pour les clés secrètes de migration, par exemple migration_secrets.
  2. Création d'un coffre à l'aide du compartiment migration_secrets.
  3. Créez une clé de cryptage maître pour le coffre.

  4. Créez une stratégie qui permet au module d'extension de réplication d'accéder au fichier migration_secrets que vous avez créé.

    Par exemple, le module d'extension de réplication dispose d'un accès en lecture pour migration_secrets.

    Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment migration_secrets

    Pour plus d'informations sur les stratégies de module d'extension de réplication, reportez-vous à Stratégies de service de migration Oracle Cloud.

Autoriser l'agent d'hydratation à accéder aux objets de cliché à partir du bucket de réplication

Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>

Pour plus d'informations sur les stratégies d'agent d'hydratation, reportez-vous à Stratégies de service de migration Oracle Cloud.