Documentation Oracle Cloud Infrastructure

Sécurisation de Tagging

Cette rubrique fournit des informations et des recommandations de sécurité pour Oracle Cloud Infrastructure Tagging.

Responsabilités en matière de sécurité

Pour une utilisation sécurisée de Tagging, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.

Tâches initiales liées à la sécurité

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser Tagging dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources Stratégies IAM
Gérer les informations d'identification à l'aide de clés secrètes Confidentialité

Stratégies IAM

Utilisez des stratégies pour limiter l'accès au balisage.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Nous vous recommandons d'accorder les droits d'accès MANAGE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez uniquement les droits d'accès MANAGE aux administrateurs de balise.

Pour gérer les espaces de noms de balise et les définitions de balise

L'exemple suivant permet à un utilisateur du groupe de gérer un espace de noms de balise dans la location.

Allow group GroupA to manage tag-namespaces in tenancy
Procédure d'octroi de l'accès à un espace de noms de balise

Un utilisateur du groupe A dispose des droits d'accès requis pour gérer les instances d'un compartiment. Pour que l'utilisateur puisse appliquer une balise à une instance d'un compartiment, vous devez ajouter l'instruction suivante à la stratégie du groupe A. Cette instruction accorde au groupe l'accès à cet espace de noms.

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
Pour accorder l'accès à l'ajout de valeurs de balise par défaut
Pour ajouter des valeurs de balise par défaut , vous devez disposer des droits d'accès suivants :
  • manage tag-defaults permet d'accéder au compartiment dans lequel ajouter la valeur de balise par défaut.
  • use tag-namespaces pour accéder au compartiment où se trouve l'espace de noms de balise.
  • inspect tag-namespaces pour accéder à la location.

Pour qu'un groupe nommé GroupA puisse ajouter une valeur de balise par défaut à un compartiment nommé CompartmentA dans lequel réside l'ensemble d'espaces de noms de balise, écrivez une stratégie avec les instructions suivantes.

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

Pour plus d'informations sur les stratégies de balisage et pour consulter d'autres exemples, reportez-vous à Détails relatifs à IAM sans domaine d'identité.

Contrôle d'accès

Outre la création de stratégies IAM, verrouillez l'accès aux ressources cible ou à la ressource à l'aide du contrôle d'accès basé sur les balises. Le contrôle d'accès basé sur des balises fournit une autre couche de sécurité en limitant et en accordant l'accès à un groupe particulier d'utilisateurs ou de ressources d'un compartiment.

Pour en savoir plus sur cette fonctionnalité dans Tagging, reportez-vous à Utilisation des balises pour gérer l'accès.

Confidentialité

N'utilisez pas de balises comme méthode de stockage d'informations confidentielles ou sensibles. Utilisez le service Vault pour crypter et gérer les clés secrètes.