Documentation Oracle Cloud Infrastructure

Création d'une zone de sécurité

Créez une zone de sécurité pour vous assurer que les ressources d'un compartiment sont conformes aux stratégies de sécurité.

Avant de créer une zone de sécurité, vous devez activer Cloud Guard dans la location. Reportez-vous à Introduction à Cloud Guard.

Lorsque vous créez une zone de sécurité, vous pouvez sélectionner une recette gérée par Oracle ou une recette personnalisée.

Lorsque vous créez une zone de sécurité pour un compartiment, Cloud Guard effectue les opérations suivantes :
  • Supprime toute cible Cloud Guard existante pour le compartiment et ses sous-compartiments
  • Crée une cible de zone d'accès sécurisé pour le compartiment
  • Ajoute la recette de détecteur gérée par Oracle par défaut aux compartiments de la zone de sécurité

Si vous créez une zone De sécurité pour un sous-compartiment dont Le compartiment parent est déjà dans une zone De sécurité, Cloud Guard crée une cible De zone De sécurité distincte Pour Le sous-compartiment. Aucune modification n'est apportée à la cible existante pour le compartiment parent.

Le schéma suivant illustre la configuration de Cloud Guard pour une nouvelle zone d'accès dans un sous-compartiment :


Le compartiment parent se trouve dans une zone de sécurité et le compartiment enfant se trouve dans une autre zone de sécurité. Chaque compartiment est associé à une cible de zone de sécurité différente dans Cloud Guard. La cible de zone de sécurité du compartiment enfant est associée aux recettes de détecteur par défaut.

Afficher l'image en taille maximale.

Attention

Pour une flexibilité maximale, évitez d'affecter une zone de sécurité au compartiment racine de la location. Les zones de sécurité appliquées au compartiment racine peuvent limiter les actions possibles sur l'ensemble d'une location. Bien que cette configuration puisse être préférable pour des cas d'utilisation spécifiques, elle est trop restrictive pour la plupart des utilisateurs.
    1. Sur la page de liste Zones de sécurité, sélectionnez le compartiment dans lequel créer la zone de sécurité. Si vous avez besoin d'aide pour trouver la page de liste ou le filtre de compartiment, reportez-vous à Liste d'une zone de sécurité.
    2. Sélectionnez Créer une zone de sécurité.

      Si le compartiment sélectionné est déjà associé à une zone d'accès sécurisé, ce bouton est désactivé.

    3. Dans le panneau Créer une zone de sécurité, sous Recette de zone de sécurité, sélectionnez l'une des options suivantes :
      • Géré par Oracle : la zone de sécurité utilise la recette de sécurité maximale.
      • Géré par le client : la zone de sécurité utilise une recette personnalisée que vous sélectionnez.

      Si la recette se trouve dans un autre compartiment, sélectionnez Modifier le compartiment.

    4. Entrez le nom et la description de la zone de sécurité.

      Evitez de révéler des informations sensibles lorsque vous nommez ou décrivez des zones de sécurité.

      Après sa création, vous ne pouvez pas modifier le nom d'une zone de sécurité.

    5. Vérifiez le compartiment de la zone de sécurité.
    6. (Facultatif) Appliquez des balises à la zone de sécurité.

      Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises de format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Reportez-vous à Balises de ressource. Vous pouvez également appliquer des balises à une zone de sécurité après l'avoir créée.

    7. Choisissez l'une des options suivantes :
      • Pour créer cette zone maintenant, sélectionnez Créer une zone.
      • Pour enregistrer la configuration de ressource en tant que configuration Terraform, sélectionnez Enregistrer en tant que pile.

        Pour plus d'informations sur l'enregistrement des piles à partir des définitions de ressource, reportez-vous à Création d'une pile à partir d'une page de création de ressource.

    La nouvelle zone est à l'état Création. L'association du compartiment et de ses sous-compartiments à la zone de sécurité peut prendre plusieurs minutes. Lorsque l'opération est terminée, la zone de sécurité présente l'état Actif.

    Si le compartiment de cette zone est composé de ressources existantes, vous pouvez vérifier que l'une d'elles enfreint des stratégies dans la recette de la zone.

  • Utilisez la commande oci cloud-guard security-zone create et les paramètres requis pour créer une zone de sécurité :

    oci cloud-guard security-zone create --compartment-id <compartment_ocid> --display-name <security_zone_name> --security_zone-recipe-id <security_zone_recipe_ocid> [OPTIONS]

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de ligne de commande.

  • Exécutez l'opération CreateSecurityZone pour créer une zone de sécurité.