Documentation Oracle Cloud Infrastructure

Sécurisation de Monitoring

Cette rubrique fournit des informations et des recommandations sur la sécurité pour le service Oracle Cloud Infrastructure Monitoring.

Responsabilités de sécurité

Pour utiliser Monitoring en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations cloud, telles que les contrôles d'accès des opérateurs cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comporte le matériel, le logiciel, les réseaux et les installations qui exécutent les services Oracle Cloud Infrastructure.

Les responsabilités de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

  • Contrôle d'accès : limitez les privilèges autant que possible. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.

Tâches de sécurité initiales

Utilisez cette liste de contrôle pour identifier les tâches à effectuer pour sécuriser Monitoring dans une nouvelle location Oracle Cloud Infrastructure.

Tâche En savoir plus
Utiliser des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources Stratégies IAM

Routine Security Tasks

Après avoir démarré avec Monitoring, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

La surveillance ne comporte aucune tâche de sécurité à effectuer régulièrement.

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à Monitoring.

Une stratégie indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges les moins élevés nécessaires à l'exécution de ses responsabilités. Chaque stratégie comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. Du minimum d'accès au maximum, les verbes disponibles sont : inspect, read, use et manage.

Pour plus d'informations sur les stratégies Monitoring, reportez-vous à Détails de Monitoring.

Accès aux alarmes pour les groupes

Obtenir les détails et l'historique des alarmes

Créez cette stratégie pour autoriser un groupe à obtenir les détails de l'alarme et à obtenir l'historique de l'alarme. La ligne read metrics est requise pour obtenir l'historique des alarmes.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gestion des alertes

Créez cette stratégie pour autoriser un groupe à gérer les alarmes, à l'aide de flux de données et de rubriques existantes pour les notifications. Cette stratégie ne permet pas la création de sujets.

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gestion des alarmes et création de sujets

Créez cette stratégie pour autoriser un groupe à gérer les alarmes, notamment à créer des sujets (et des abonnements) pour les notifications (et à utiliser des flux de données pour les notifications).

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les groupes

Répertorier les définitions de mesure

Créez cette stratégie pour autoriser un groupe à lister les définitions de mesure dans un compartiment.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Mesures de requête

Créez cette stratégie pour autoriser un groupe à interroger des mesures dans un compartiment.

Allow group <group_name> to read metrics in compartment <compartment_name>

Interroger les mesures d'un espace de noms de mesure

Créez cette stratégie pour autoriser un groupe à interroger les mesures dans un compartiment, limité à un espace de noms de mesure.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Publier les métriques personnalisées

Créez cette stratégie pour autoriser un groupe à publier des mesures personnalisées vers un espace de noms de mesure, ainsi qu'à visualiser les données de mesure, à créer des alarmes et des sujets, et à utiliser des flux de données avec des alarmes.

Remarque

Pour limiter le groupe aux droits d'accès requis pour la sélection des flux, remplacez use streams par {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accès aux mesures pour les ressources

Si vous souhaitez que les instances de calcul ou d'autres ressources surveillent les mesures via des appels d'API, procédez comme suit.

Pour plus d'informations sur les instances de calcul qui appellent des API, reportez-vous à appel de services à partir d'une instance.

  1. Ajoutez les ressources à un groupe dynamique à l'aide de ses règles de correspondance.

  2. Créez une stratégie permettant à ce groupe dynamique d'accéder aux mesures.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Accès aux mesures inter-locations

Utilisez l'accès aux mesures inter-location pour partager les mesures avec une autre organisation disposant de sa propre location. Par exemple, partagez des métriques avec une autre unité opérationnelle de votre société, un client ou une société qui fournit des services à la vôtre.

Pour accéder aux ressources et les partager, les administrateurs des deux locations doivent créer des instructions de stratégie spéciales qui indiquent de façon explicite les ressources accessibles et pouvant être partagées. Ces instructions spéciales utilisent les mots Define, Endorse et Admit. Pour plus d'informations sur ces instructions, reportez-vous à Approbation, Admission et définition d'instructions (sur la page Accès aux ressources Object Storage dans les locations).

Instructions de stratégie de la location source

L'administrateur source crée des instructions de stratégie qui approuvent un groupe IAM source autorisé à gérer des ressources dans la location de destination.

Exemple : approuvez MetricsAdminsUserGroup pour effectuer n'importe quelle opération sur n'importe quelle ressource de mesure dans n'importe quelle location :

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Pour écrire une stratégie qui réduit la portée de l'accès à la location, l'administrateur source doit référencer l'OCID de location de destination fourni par l'administrateur de destination.

Exemple : endossez MetricsAdminsUserGroup pour lire les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Pour autoriser un groupe à publier des mesures vers la location de destination, utilisez le verbe manage :

Exemple : approuvez MetricsAdminsUserGroup pour gérer les ressources de mesure dans la location de destination (DestinationTenancy) uniquement :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Exemple : approuvez un groupe dynamique (MetricsAdminsDynamicGroup) pour lire les ressources de mesure dans la location de destination :

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Instructions de stratégie de la location de destination

Exemple : approuvez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour effectuer n'importe quelle opération sur les ressources de mesure de votre location :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Exemple : approuvez MetricsAdminsUserGroup dans la location source (MetricsAdminsUserGroupInSource) pour lire les ressources de mesure dans le compartiment SharedMetrics uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Exemple : approuvez un groupe dynamique (MetricsAdminsDynamicGroup) dans la location source (MetricsAdminsDynamicGroupInSource) pour lire les ressources de mesure dans le compartiment SharedMetrics uniquement :

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics