Documentation Oracle Cloud Infrastructure

Sécurisation de Monitoring

Cette rubrique fournit des informations et des recommandations de sécurité pour le service Oracle Cloud Infrastructure Monitoring.

Responsabilités en matière de sécurité

Pour utiliser Monitoring en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.

Tâches initiales liées à la sécurité

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser Monitoring dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources Stratégies IAM

Tâches de routine liées à la sécurité

Après vous être familiarisé avec Monitoring, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

La surveillance ne comporte aucune tâche de sécurité que vous devez effectuer régulièrement.

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à Monitoring.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Pour plus d'informations sur les stratégies de surveillance, reportez-vous à Détails relatifs à Health Checks.

Accès aux alarmes pour les groupes

Obtenir les détails et l'historique des alarmes

Créez cette stratégie pour autoriser un groupe à obtenir les détails de l'alarme et à obtenir l'historique des alarmes. La ligne read metrics est requise pour obtenir l'historique des alarmes.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gestion des alarmes

Créez cette stratégie pour permettre à un groupe de gérer des alarmes, à l'aide de flux de données et de sujets existants pour les notifications. Cette stratégie ne permet pas la création de sujets.

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux de données, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gérer les alarmes et créer des sujets

Créez cette stratégie pour autoriser un groupe à gérer des alarmes, notamment créer des sujets (et des abonnements) pour les notifications (et utiliser des flux de données pour les notifications).

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux de données, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les groupes

Liste des définitions de mesure

Créez cette stratégie pour permettre à un groupe de lister les définitions de mesure dans un compartiment.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Interrogation des mesures

Créez cette stratégie pour permettre à un groupe de interroger des mesures dans un compartiment.

Allow group <group_name> to read metrics in compartment <compartment_name>

Interroger les mesures d'un espace de noms de mesure

Créez cette stratégie pour autoriser un groupe à interroger les mesures dans un compartiment, limité à un espace de noms de mesure.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Publication de mesures personnalisées

Créez cette stratégie pour autoriser un groupe à publier des mesures personnalisées vers un espace de noms de mesure, ainsi qu'à visualiser les données de mesure, à créer des alarmes et des sujets, et à utiliser des flux de données avec des alarmes.

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux de données, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les ressources

Si vous voulez que les instances de calcul ou d'autres ressources surveillent les mesures via des appels d'API, effectuez les opérations indiquées.

Pour plus d'informations sur les instances de calcul appelant des API, reportez-vous à Appel de services à partir d'une instance.

  1. Ajoutez les ressources à un groupe dynamique à l'aide de ses règles de mise en correspondance.

  2. Créez une stratégie qui permet à ce groupe dynamique d'accéder aux mesures.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Accès aux mesures inter-location

Utilisez l'accès aux mesures inter-location pour partager les mesures avec une autre organisation possédant sa propre location. Par exemple, partagez les métriques avec une autre unité opérationnelle de votre société, un client ou une société qui fournit des services à celle-ci.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie spéciales qui indiquent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Define, Endorse et Admit. Pour plus d'informations sur ces instructions, reportez-vous à Stratégies d'accès inter-location.

Instructions de stratégie de la location source

Les administrateurs de location source et cible créent des instructions de stratégie qui approuvent un groupe IAM source autorisé à gérer des ressources dans la location de destination.

Exemple : approuvez MetricsAdminsUserGroup pour effectuer des opérations avec n'importe quelle ressource de mesure dans n'importe quelle location :

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Pour écrire une stratégie qui réduit la portée de l'accès à la location, l'administrateur source doit référencer l'OCID de location de destination fourni par l'administrateur de destination.

Exemple : approuvez MetricsAdminsUserGroup pour lire les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Pour autoriser un groupe à publier des mesures vers la location de destination, utilisez le verbe manage :

Exemple : approuvez MetricsAdminsUserGroup pour gérer les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Exemple : approuvez un groupe dynamique (MetricsAdminsDynamicGroup) pour lire les ressources de mesure dans la location de destination :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Instructions de stratégie de location de destination

Exemple : approuvez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour effectuer des opérations avec n'importe quelle ressource de mesure de votre location :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Exemple : approuvez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour lire les ressources de mesures dans le compartiment SharedMetrics uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Exemple : approuvez un groupe dynamique (MetricsAdminsDynamicGroup) dans la location source (MetricsAdminsDynamicGroupInSource) pour lire les ressources de mesure dans le compartiment SharedMetrics uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics