Introduction à Security Advisor
Avant de créer des ressources sécurisées avec Oracle Cloud Infrastructure Security Advisor, effectuez les tâches prérequises suivantes.
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un droit d'accès dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur de location le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour plus d'informations sur le fonctionnement des stratégies, reportez-vous à Fonctionnement des stratégies.
Stratégies IAM requises pour la création de buckets
- La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles sur les buckets et les objets du compartiment indiqué :
Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les coffres dans le compartiment indiqué. Il peut s'agir d'un autre compartiment que celui du bucket. (Si vous préférez, vous pouvez écrire une stratégie qui octroie le droit d'accès
use vaultsà la place. Avec ce droit d'accès, le groupe indiqué peut utiliser des coffres existants, mais pas en créer d'autres.Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les clés dans le compartiment indiqué (il doit s'agir du même compartiment que pour le coffre) :
Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF - La stratégie suivante permet au service Object Storage de répertorier, d'afficher et d'effectuer des opérations cryptographiques avec toutes les clés du compartiment indiqué :
Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEFDans l'exemple précédent, remplacez <region_name> par l'identificateur de région approprié, par exemple :
-
objectstorage-us-phoenix-1 -
objectstorage-us-ashburn-1 -
objectstorage-eu-frankfurt-1 -
objectstorage-uk-london-1 -
objectstorage-ap-tokyo-1
Pour identifier la valeur de nom d'une région Oracle Cloud Infrastructure, reportez-vous à A propos des régions et des domaines de disponibilité.
-
Stratégies IAM requises pour la création de systèmes de fichiers
- La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les systèmes de fichiers et les cibles de montage dans le compartiment indiqué :
Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les coffres dans le compartiment indiqué. Il peut s'agir d'un autre compartiment que celui du système de fichiers. (Si vous préférez, vous pouvez écrire une stratégie qui octroie le droit d'accès
use vaultsà la place. Avec ce droit d'accès, le groupe indiqué pourra utiliser des coffres existants, mais pas en créer d'autres.)Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les clés dans le compartiment indiqué (il doit s'agir du même compartiment que pour le coffre) :
Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF - Le groupe et la stratégie suivants permettent aux systèmes de fichiers File Storage de répertorier, de visualiser et d'effectuer des opérations cryptographiques avec toutes les clés du compartiment indiqué.
-
Créez un groupe dynamique pour les systèmes de fichiers avec une règle telle que la suivante :
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' } -
Créez une stratégie qui permet au groupe dynamique de systèmes de fichiers d'accéder à des clés secrètes Vault :
allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF -
Outre la création de stratégies pour l'accès au principal de ressource, l'utilisateur du service File Storage doit disposer d'un accès en lecture des clés à l'aide d'une stratégie telle que la suivante :
allow service FssOcNProd to use keys in compartment <compartment_name>Le nom de l'utilisateur du service File Storage dépend de votre domaine de sécurité . Pour les domaines avec des numéros de clé de domaine de 10 ou moins, le modèle de l'utilisateur du service File Storage est
FssOc<n>Prod, où n est le numéro de clé de domaine. Les domaines avec un numéro de clé de domaine supérieur à 10 ont un utilisateur de service defssocprod. Pour plus d'informations sur les domaines de sécurité, reportez-vous à A propos des régions et des domaines de sécurité.
-
Stratégies IAM requises pour la création d'instances de calcul
- La stratégie suivante permet au groupe indiqué de répertorier et d'utiliser tous les composants dans Networking dans le compartiment indiqué. Cela comprend les réseaux cloud virtuels, les sous-réseaux, les passerelles, les circuits virtuels, les listes de sécurité, les tables de routage, etc.
Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC - La stratégie suivante permet au groupe indiqué de créer et de gérer des images d'instance dans le compartiment indiqué :
Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les coffres dans le compartiment indiqué. Il peut s'agir d'un autre compartiment que celui de l'instance. (Si vous préférez, vous pouvez écrire une stratégie qui octroie le droit d'accès
use vaultsà la place. Avec ce droit d'accès, le groupe indiqué pourra utiliser des coffres existants, mais pas en créer d'autres.)Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les clés dans le compartiment indiqué (il doit s'agir du même compartiment que pour le coffre) :
Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF - La stratégie suivante permet au service Block Volume de répertorier et d'afficher toutes les clés dans le compartiment indiqué, ainsi que d'effectuer des opérations cryptographiques sur ces dernières. Le service Block Volume est responsable du volume d'initialisation attaché à l'instance.
Allow service blockstorage to use keys in compartment CompartmentDEF
Stratégies IAM requises pour la création de volumes de blocs
- La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles sur les volumes de stockage de blocs, les sauvegardes de volume et les groupes de volumes dans le compartiment indiqué :
Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les coffres dans le compartiment indiqué. Il peut s'agir d'un autre compartiment que celui du volume. (Si vous préférez, vous pouvez écrire une stratégie qui octroie le droit d'accès
use vaultsà la place. Avec ce droit d'accès, le groupe indiqué peut utiliser des coffres existants, mais pas en créer d'autres.Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF - La stratégie suivante permet au groupe indiqué d'effectuer toutes les opérations possibles avec les clés dans le compartiment indiqué (il doit s'agir du même compartiment que pour le coffre) :
Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF - La stratégie suivante permet au service Block Volume de répertorier et d'exécuter des opérations cryptographiques avec toutes les clés dans le compartiment indiqué :
Allow service blockstorage to use keys in compartment CompartmentDEF