Documentation Oracle Cloud Infrastructure

Sécurisation de Compute

Cette rubrique fournit des informations de sécurité et des recommandations pour Compute.

Le service Compute vous permet de provisionner et de gérer des hôtes de calcul, également appelés instances . Vous pouvez créer des instances selon vos besoins afin de répondre à vos exigences en matière de calcul et d'application. Une fois qu'une instance est créée, vous pouvez y accéder en toute sécurité à partir de votre ordinateur, la redémarrer, attacher et détacher des volumes, ainsi qu'y mettre fin lorsque vous n'en avez plus besoin. Toutes les modifications apportées aux lecteurs locaux de l'instance sont perdues lorsque vous mettez fin à cette dernière. Les modifications apportées aux volumes attachés à l'instance et enregistrées sont conservées.

Responsabilités en matière de sécurité

Pour utiliser Compute en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
  • Cryptage et confidentialité : utilisez des clés de cryptage et des clés secrètes pour protéger vos données et vous connecter à des ressources sécurisées. Faites pivoter ces clés régulièrement.
  • Application de patches : maintenez les logiciels à jour avec les derniers patches de sécurité pour éviter les vulnérabilités.

Tâches initiales liées à la sécurité

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser Compute dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources Stratégies IAM
Crypter les ressources à l'aide d'une clé personnalisée Cryptage des données
Accès réseau sécurisé aux ressources Sécurité réseau
Activation et configuration de Cloud Guard (facultatif) Cloud Guard
Création d'une zone de sécurité (facultatif) Security Zones

Tâches de routine liées à la sécurité

Après vous être familiarisé avec Compute, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche Informations supplémentaires
Effectuer une rotation des clés de cryptage Cryptage des données
Répondre aux problèmes détectés dans Cloud Guard Cloud Guard
Appliquer les derniers patches de sécurité Application de patches
Réalisation d'un audit de sécurité Audit en cours

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à Compute.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.

Dans tous les exemples suivants, les stratégies sont dans la portée d'une location. Cependant, elles peuvent être ciblées sur un compartiment spécifique dans une location en indiquant le nom du compartiment.

Restriction de la capacité des utilisateurs à supprimer des instances

L'exemple suivant permet au groupe InstanceUsers de lancer des instances, mais pas de les supprimer.

Allow group InstanceUsers to manage instance-family in tenancy
 where request.permission!='INSTANCE_DELETE' 
Allow group InstanceUsers to use volume-family in tenancy 
Allow group InstanceUsers to use virtual-network-family in tenancy
Limitation de la capacité d'utilisation des connexions à la console

Pour des raisons de conformité en matière de sécurité, certains clients ne veulent pas afficher la console d'instance auprès des utilisateurs dans leur location. L'exemple de stratégie suivant limite la capacité de création ou de lecture à partir des consoles.

Allow group InstanceUsers to manage instance-console-connection in tenancy
 where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ, 
            request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}

Pour plus d'informations sur les stratégies Compute et pour consulter d'autres exemples, reportez-vous à Détails des services de base.

Contrôle d'accès

Outre la création de stratégies IAM, verrouillez l'accès aux instances de calcul.

Accès à l'instance à d'autres services

Vous pouvez utiliser la fonctionnalité de principaux d'instance Oracle Cloud Infrastructure pour autoriser les instances à accéder à d'autres services pour le compte d'un utilisateur IAM.

Par exemple, une instance peut accéder à Block Volume, Networking, Load Balancer ou Object Storage.

Pour utiliser cette fonctionnalité, créez des groupes dynamiques et autorisez-les à accéder aux API de service. Les groupes dynamiques vous permettent de regrouper des instances de calcul Oracle Cloud Infrastructure en tant qu'"acteurs principaux" (comme des groupes d'utilisateurs). Vous pouvez ensuite créer des stratégies permettant aux instances d'effectuer des appels d'API vers les services Oracle Cloud Infrastructure.

Lorsque vous créez un groupe dynamique, au lieu de lui ajouter des membres explicitement, vous pouvez configurer un ensemble de règles de mise en correspondance pour définir ses membres. Une clé privée de courte durée permettant de signer les appels d'API est fournie via le service de métadonnées d'instance (http://169.254.169.254/opc/<version>/identity/cert.pem). La rotation de la clé est effectuée plusieurs fois par jour. Pour plus d'informations sur l'accès aux services à partir des instances, reportez-vous à Appel de services à partir d'une instance.

Accès aux métadonnées d'instance

Nous vous recommandons de limiter l'accès aux métadonnées d'instance aux utilisateurs dotés de privilèges sur l'instance.

Les métadonnées d'instance (http://169.254.169.254) fournissent des informations d'instance prédéfinies, telles que l'OCID et le nom d'affichage, ainsi que des champs personnalisés. Les métadonnées d'instance peuvent également fournir des informations d'identification de courte durée, telles que des informations d'identification de groupe dynamique. L'exemple suivant montre comment utiliser iptables pour restreindre l'accès aux métadonnées d'instance à l'utilisateur root.

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

Les instances utilisent des adresses locales de liaison pour accéder au service de métadonnées d'instance (169.254.169.254:80), à DNS (169.254.169.254:53), à NTP (169.254.169.254:123), aux mises à jour du noyau (169.254.0.3) et aux connexions iSCSI aux volumes d'initialisation (169.254.0.2:3260, 169.254.2.0/24:3260). Vous pouvez utiliser des pare-feu basés sur l'hôte, tels que iptables, pour vous assurer que seul l'utilisateur root est autorisé à accéder à ces adresses IP. Assurez-vous que ces règles de pare-feu du système d'exploitation ne sont pas modifiées.

Le service de métadonnées d'instance est disponible en deux versions : 1 et 2. IMDS version 2 offre une sécurité accrue par rapport à la version 1. Nous vous recommandons de désactiver IMDSv1 et d'autoriser uniquement les demandes vers IMDSv2. Reportez-vous à Mise à niveau vers le service de métadonnées d'instance v2.

Cloud Guard

Activez Cloud Guard et utilisez-le pour détecter et résoudre les problèmes de sécurité dans les ressources Compute.

Lors de la détection d'un problème, Cloud Guard suggère des actions correctives. Vous pouvez également configurer Cloud Guard pour qu'il effectue automatiquement certaines actions. Cloud Guard inclut les règles de détecteur suivantes pour Compute.

  • L'instance possède une adresse IP publique
  • L'instance exécute une image Oracle
  • L'instance n'exécute pas d'image Oracle
  • L'instance est accessible publiquement
  • Instance arrêtée
  • Exporter l'image
  • Importer l'image
  • Mettre à jour l'image

Pour obtenir la liste de toutes les règles de détecteur disponibles dans Cloud Guard, reportez-vous à Référence de recette de détecteur.

Si vous ne l'avez pas encore fait, activez Cloud Guard et configurez-le pour surveiller les compartiments qui contiennent vos ressources. Vous pouvez configurer des cibles Cloud Guard pour examiner l'ensemble de votre location (compartiment racine et tous les sous-compartiments) ou pour vérifier uniquement des compartiments spécifiques. Reportez-vous à Introduction à Cloud Guard.

Après avoir activé Cloud Guard, vous pouvez visualiser et résoudre les problèmes de sécurité détectés. Reportez-vous à la section Processing Reported Problems.

Security Zones

L'utilisation de Security Zones garantit que vos ressources dans Compute sont conformes aux meilleures pratiques de sécurité.

Une zone de sécurité est associée à des compartiments et à une recette de zone de sécurité. Lorsque vous créez et mettez à jour des ressources dans le compartiment d'une zone de sécurité, Oracle Cloud Infrastructure valide ces opérations par rapport à la liste des stratégies de zone de sécurité dans la recette. Si une stratégie de la recette est violée, l'opération est refusée. Les stratégies de zone de sécurité suivantes sont disponibles pour les ressources dans Compute.

  • deny instance_in_security_zone_​launch_from_boot_volume_​not_in_security_zone
  • deny instance_in_security_zone_​in_subnet_not_in_security_​zone
  • deny instance_without_​sanctioned_image
  • deny boot_volume_not_in_security_​zone_attach_to_instance_​in_security_zone
  • deny boot_volume_without_​vault_key

Pour obtenir la liste de toutes les stratégies de zone de sécurité, reportez-vous à Stratégies de zone de sécurité.

Pour déplacer des ressources existantes vers un compartiment se trouvant dans une zone de sécurité, les ressources doivent respecter toutes les stratégies de zone de sécurité de la recette de la zone. De même, les ressources d'une zone de sécurité ne peuvent pas être déplacées vers un compartiment en dehors de la zone car il peut être moins sécurisé. Reportez-vous à la section Managing Security Zones.

Cryptage des données

Créez et effectuez une rotation des clés de cryptage dans le service Vault pour protéger vos ressources dans Compute.

Un coffre est une entité logique qui stocke les clés de cryptage que vous utilisez pour protéger vos données. Selon le mode de protection, les clés sont stockées sur le serveur ou sur des modules de sécurité HSM hautement disponibles et durables. Nos HSM respectent la certification de sécurité de niveau 3 FIPS (Federal Information Processing Standards) 140-2. Reportez-vous à Gestion des coffres et à Gestion des clés.

Bien que les clés de cryptage par défaut puissent être générées automatiquement lorsque vous créez certaines ressources Oracle Cloud Infrastructure, nous vous recommandons de créer et de gérer vos propres clés de cryptage personnalisées dans le service Vault.

Les volumes d'initialisation d'instance sont cryptés par défaut. Lorsque vous créez une instance, vous pouvez utiliser une clé de cryptage personnalisée pour crypter les données inactives dans le volume d'initialisation. Si vous activez le cryptage en transit pour l'instance, la clé personnalisée est également utilisée pour le cryptage en transit. Reportez-vous à Création d'une instance.

Une version de clé est automatiquement affectée à chaque clé de cryptage maître. Lorsque vous effectuez une rotation de clé, le service Vault génère une nouvelle version de clé. La rotation périodique des clés limite la quantité de données cryptées ou signées par une version de clé. Si une clé est incluse, la rotation des clés réduit les risques pour vos données. Reportez-vous à Gestion des clés.

Nous vous recommandons d'utiliser des stratégies IAM pour limiter strictement la création, la rotation et la suppression des clés de cryptage. Reportez-vous à Détails du service Vault.

Sécurité réseau

Sécurisez l'accès réseau à vos ressources dans le service Compute, y compris SSH (Secure Shell).

Sécurisez SSH sur toutes les instances. Le tableau suivant présente certaines recommandations de sécurité SSH. Vous pouvez définir les options de configuration SSH dans le fichier sshd_config. Sous Linux, ce fichier se trouve sous /etc/ssh/sshd_config.

Recommandation de sécurité Configuration sshd_config Commentaires
Utiliser uniquement des connexions par clé publique PubkeyAuthentication yes Consultez régulièrement les clés publiques SSH dans le fichier ~/.ssh/authorized_keys.
Désactiver les connexions par mot de passe PasswordAuthentication no Atténue les attaques par mot de passe par force brute.
Désactiver les connexions root PermitRootLogin no Empêche les utilisateurs avec des privilèges root de se connecter à distance.
Remplacer le port SSH par un port non standard Port <port_number> facultatif. Vérifiez que cette modification n'interdit pas les applications utilisant le port 22 pour SSH.

Utilisez des clés privées SSH sécurisées pour accéder aux instances et empêcher les divulgations par inadvertance. Pour plus d'informations sur la création d'une paire de clés SSH et la configuration d'une instance avec les clés, reportez-vous à Gestion des paires de clés sur les instances Linux.

Utilisez les listes de sécurité , les groupes de sécurité réseau ou une combinaison des deux pour contrôler le trafic de niveau paquet entrant et sortant des ressources de votre VCN (réseau cloud virtuel) . Reportez-vous à Accès et sécurité.

Fail2ban est une application qui met sur liste de blocs les adresses IP impliquées dans des tentatives de connexion en force (nombreuses tentatives de connexion à une instance ayant échoué). Par défaut, Fail2ban inspecte les accès SSH et vous pouvez le configurer pour inspecter d'autres protocoles. Pour plus d'informations sur Fail2ban, reportez-vous à la page principale de Fail2ban.

En plus des groupes de sécurité réseau et des listes de sécurité VCN, utilisez des pare-feu basés sur l'hôte, tels que iptables et firewalld, pour restreindre l'accès réseau aux instances en contrôlant les ports, les protocoles et les types de paquets. Utilisez ces pare-feu pour empêcher la reconnaissance d'attaques de sécurité réseau potentielles, telles que l'analyse de port et les tentatives d'intrusion. Vous pouvez configurer, enregistrer et initialiser des règles de pare-feu personnalisées à chaque initialisation d'instance. L'exemple suivant montre des commandes pour iptables.

# save iptables rules after configuration 
sudo iptables-save > /etc/iptables/iptables.rules 
# restore iptables rules on next reboot 
sudo /sbin/iptables-restore < /etc/iptables.rules 
# restart iptables after restore 
sudo service iptables restart

Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et la communication Internet est autorisée. Utilisez des sous-réseaux privés pour héberger des ressources qui ne nécessitent pas d'accès Internet. Vous pouvez également configurer une passerelle de service dans votre VCN afin d'autoriser les ressources sur un sous-réseau privé à accéder à d'autres services cloud. Reportez-vous à Choix de connectivité.

Le service Bastion fournit un accès restreint et illimité aux ressources cible qui ne disposent pas d'adresses publiques. A l'aide d'un bastion, vous pouvez permettre aux utilisateurs autorisés de se connecter aux ressources cible sur des adresses privées via des sessions SSH (Secure Shell). Lorsqu'ils sont connectés, les utilisateurs peuvent interagir avec la ressource cible à l'aide de n'importe quel logiciel ou protocole pris en charge par SSH. Reportez-vous à Gestion des bastions.

Utilisez le pare-feu d'applications Web (WAF) pour créer et gérer des règles de protection contre les menaces Internet, notamment les scripts inter-site (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Le nombre de bots indésirables peut être restreint et les bots souhaitables autorisés. WAF observe le trafic vers votre application Web au fil du temps et recommande de nouvelles règles à configurer. Reportez-vous à Mise en route des stratégies en périphérie.

Application de patches

Assurez-vous que vos ressources Compute exécutent les dernières mises à jour de sécurité.

Maintenez à jour les logiciels d'instance grâce aux patches de sécurité. Nous vous recommandons d'appliquer régulièrement les dernières mises à jour logicielles disponibles à vos instances. Les images Oracle Autonomous Linux sont automatiquement mises à jour avec les derniers patches. Pour les images Oracle Linux, vous pouvez exécuter la commande sudo yum update (sudo dnf update sur Oracle Linux 8). Sur Oracle Linux, vous pouvez obtenir des informations sur les patches de sécurité disponibles et installés à l'aide du module d'extension yum-security. L'exemple suivant fournit des commandes pour yum-security.

# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security all

Les instances Linux sur Oracle Cloud Infrastructure peuvent utiliser Oracle Ksplice pour appliquer des patches de noyau critiques sans redémarrage. Ksplice peut gérer des versions de noyau spécifiques pour Oracle Linux, CentOS et Ubuntu. Pour plus d'informations, reportez-vous à Oracle Ksplice.

Utilisez Oracle Cloud Infrastructure Vulnerability Scanning Service pour améliorer l'état de la sécurité en vérifiant régulièrement les hôtes à la recherche de vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails concernant ces vulnérabilités, et affecte à chacune un niveau de risque. Par exemple :
  • Les ports laissés involontairement ouverts peuvent constituer un vecteur d'attaque potentiel pour vos ressources cloud ou permettre aux pirates d'exploiter d'autres vulnérabilités.
  • Les packages de système d'exploitation qui nécessitent des mises à jour et des patches pour corriger les vulnérabilités.
  • Les configurations de système d'exploitation que les pirates peuvent exploiter.
Reportez-vous à Présentation de Scanning.

Renforcement

Configurez vos ressources Compute pour les déploiements de production.

Etablissez une référence pour le renforcement de la sécurité des images Linux et Windows exécutées sur les instances. Pour plus d'informations sur le renforcement de la sécurité des images Oracle Linux, reportez-vous à Conseils de sécurisation d'un serveur Oracle Linux. Les références Center for Internet Security fournissent un ensemble complet de références en matière de sécurité du système d'exploitation pour différentes distributions de Linux et de Windows Server.

Entropie d'instance

Dans les instances Linux, /dev/random n'est pas bloquant. Il doit être utilisé pour les applications de sécurité exigeant des nombres aléatoires.

Les instances Bare Metal et les instances de machine virtuelle fournissent une source entropique haut débit de grande qualité. Les instances ont des générateurs de nombres aléatoires dont la sortie est envoyée dans les pools entropiques utilisés par le système d'exploitation pour générer des nombres aléatoires.

Vous pouvez utiliser les commandes suivantes pour vérifier le débit et la qualité des nombres aléatoires générés par /dev/random avant d'utiliser les sorties dans les applications.

# check sources of entropy 
sudo rngd -v 
# enable rngd, if not already 
sudo systemctl start rngd 
# verify rngd status 
sudo systemctl status rngd 
# verify /dev/random throughput and quality using rngtest 
cat /dev/random | rngtest -c 1000

Audit en cours

Localisez les journaux d'accès et les autres données de sécurité pour les instances de calcul.

Divers événements liés à la sécurité sont capturés dans les fichiers journaux. Nous vous recommandons de consulter régulièrement ces fichiers journaux pour détecter les problèmes de sécurité. Dans Oracle Linux, les fichiers journaux se trouvent dans le dossier /var/log. Certains fichiers journaux liés à la sécurité sont répertoriés dans le tableau suivant.

Fichier journal ou répertoire Description
/var/log/secure Journal Auth présentant les échecs et les connexions réussies.
/var/log/audit Journaux Auditd qui capturent les appels système émis, les tentatives sudo, les connexions utilisateur, etc. ausearch et aureport sont deux outils permettant d'interroger les journaux auditd.
/var/log/yum.log Répertorie les packages installés ou mis à jour sur les instances avec yum.
/var/log/cloud-init.log Pendant l'initialisation de l'instance, cloud-init peut exécuter des scripts fournis par l'utilisateur en tant qu'utilisateur doté de privilèges. Par exemple, cloud-init peut introduire des clés SSH. Nous vous recommandons de consulter les journaux cloud-init pour les commandes non reconnues.

Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.

Exemple de journal d'audit

Journal d'audit pour un événement LaunchInstance

{
  "datetime": 1642192740551,
  "logContent": {
    "data": {
      "additionalDetails": {
        "X-Real-Port": 50258,
        "imageId": "ocid1.image.oc1.<unique_id>",
        "shape": "VM.Standard.E3.Flex",
        "type": "CustomerVmi",
        "volumeId": "null"
      },
      "availabilityDomain": "AD1",
      "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
      "compartmentName": "mytenancy",
      "definedTags": {},
      "eventGroupingId": "<unique_id>",
      "eventName": "LaunchInstance",
      "freeformTags": {},
      "identity": {
        "authType": null,
        "callerId": null,
        "callerName": null,
        "consoleSessionId": null,
        "credentials": "<key>",
        "ipAddress": "<ip_address>",
        "principalId": "<user_id>",
        "principalName": "<user_name>",
        "tenantId": "ocid1.tenancy.oc1..<unique_id>",
        "userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
      },
      "message": "myinstance LaunchInstance succeeded",
      "request": {
        "action": "POST",
        "headers": {
          "Accept": [
            "application/json"
          ],
          "Connection": [
            "keep-alive"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:38:59 GMT"
          ]
        },
        "id": "<unique_id>",
        "parameters": {},
        "path": "/20160918/instances"
      },
      "resourceId": "ocid1.instance.oc1.phx.<unique_id>",
      "response": {
        "headers": {
          "Connection": [
            "keep-alive"
          ],
          "Content-Type": [
            "application/json"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:39:00 GMT"
          ],
          "ETag": [
            "<unique_id>"
          ],
          "Transfer-Encoding": [
            "chunked"
          ],
          "X-Content-Type-Options": [
            "nosniff"
          ],
          "opc-request-id": [
            "<unique_id>"
          ],
          "opc-work-request-id": [
            "ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
          ]
        },
        "message": null,
        "payload": {},
        "responseTime": "2022-01-14T20:39:00.551Z",
        "status": "200"
      },
      "stateChange": {
        "current": {
          "agentConfig": {
            "areAllPluginsDisabled": false,
            "isManagementDisabled": false,
            "isMonitoringDisabled": false
          },
          "availabilityConfig": {
            "recoveryAction": "RESTORE_INSTANCE"
          },
          "availabilityDomain": "EMIr:PHX-AD-1",
          "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
          "definedTags": {},
          "displayName": "<unique_id>",
          "extendedMetadata": {},
          "faultDomain": "FAULT-DOMAIN-1",
          "freeformTags": {},
          "id": "ocid1.instance.oc1.phx.<unique_id>",
          "imageId": "ocid1.image.oc1.phx.<unique_id>",
          "instanceOptions": {
            "areLegacyImdsEndpointsDisabled": false
          },
          "launchMode": "PARAVIRTUALIZED",
          "launchOptions": {
            "bootVolumeType": "PARAVIRTUALIZED",
            "firmware": "UEFI_64",
            "isConsistentVolumeNamingEnabled": true,
            "isPvEncryptionInTransitEnabled": false,
            "networkType": "PARAVIRTUALIZED",
            "remoteDataVolumeType": "PARAVIRTUALIZED"
          },
          "lifecycleState": "PROVISIONING",
          "region": "phx",
          "shape": "VM.Standard.E3.Flex",
          "shapeConfig": {
            "gpus": 0,
            "localDisks": 0,
            "maxVnicAttachments": 2,
            "memoryInGBs": 16,
            "networkingBandwidthInGbps": 1,
            "ocpus": 1,
            "processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
          },
          "sourceDetails": {
            "imageId": "ocid1.image.oc1.phx.<unique_id>",
            "sourceType": "image"
          },
          "systemTags": {},
          "timeCreated": "2022-01-14T20:39:00.260Z"
        },
        "previous": {}
      }
    },
    "dataschema": "2.0",
    "id": "<unique_id> ",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..<unique_id>",
      "ingestedtime": "2022-01-14T20:39:05.212Z",
      "loggroupid": "_Audit",
      "tenantid": "ocid1.tenancy.oc1..<unique_id>"
    },
    "source": "<unique_id>",
    "specversion": "1.0",
    "time": "2022-01-14T20:39:00.551Z",
    "type": "com.oraclecloud.computeApi.LaunchInstance.begin"
  }
}

Si vous avez activé Cloud Guard dans votre location, il signale toutes les activités utilisateur susceptibles de poser des problèmes de sécurité. Lors de la détection d'un problème, Cloud Guard suggère des actions correctives. Vous pouvez également configurer Cloud Guard pour qu'il effectue automatiquement certaines actions. Reportez-vous à Introduction à Cloud Guard et à Traitement des problèmes signalés.