Gestion des zones de sécurité
Créez et gérez des zones de sécurité pour protéger les ressources d'un compartiment.
Vous pouvez effectuer les tâches de gestion de zone de sécurité suivantes :
- Liste des zones de sécurité
- Création d'une zone de sécurité
- Obtention de détails d'une zone de sécurité
- Modification d'une zone de sécurité
- Déplacement d'une zone de sécurité entre des compartiments
- Suppression d'une zone de sécurité
- Suppression d'un sous-compartiment dans une zone de sécurité
- Ajout d'un sous-compartiment supprimé à une zone de sécurité
- Liste des stratégies de zone de sécurité d'un compartiment
- Visualisation des violations de stratégie dans une zone de sécurité
- Visualisation des compartiments dans une zone de sécurité
Une zone de sécurité présente les caractéristiques suivantes :
- Créé dans un compartiment , mais non limité à un seul compartiment
- Associé à un seul compartiment ou à une hiérarchie de compartiments avec un seul parent
- Une recette de zone de sécurité lui est affectée.
Un compartiment ne peut pas se trouver dans plusieurs zones de sécurité.
Une fois que vous avez créé une zone de sécurité pour un compartiment, celle-ci empêche automatiquement l'exécution des opérations qui enfreignent les stratégies de la zone de sécurité, telles que la création ou la modification de ressources. Toute opération qui enfreint une stratégie dans la recette de la zone est refusée. Les ressources existantes créées avant la zone de sécurité peuvent également enfreindre les stratégies. Security Zones s'intègre à Oracle Cloud Guard pour identifier les violations d'une stratégie dans des ressources existantes.
Vous devez activer Cloud Guard dans la location avant de créer une zones de sécurité. Reportez-vous à Introduction à Cloud Guard.
Chaque location dispose d'une recette prédéfinie nommée Maximum Security Recipe, qui inclut plusieurs stratégies de zones de sécurité sélectionnées. Oracle gère cette recette et vous ne pouvez pas la modifier.
Vous pouvez créer une recette personnalisée ou cloner une recette existante. Reportez-vous à Gestion des recettes dans les zones de sécurité.
Lorsque vous créez une zone de sécurité pour un compartiment, tous les sous-compartiments se trouvent également dans la même zone de sécurité. Vous pouvez également effectuer les opérations suivantes :
- Enlever un sous-compartiment d'une zone de sécurité
- Créer une autre zone de sécurité pour un sous-compartiment
Pour garantir l'intégrité des données, vous n'êtes pas en mesure de déplacer certaines ressources d'un compartiment d'une zone de sécurité vers un compartiment qui ne se situe pas dans la zone de sécurité.
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, vous devez disposer du type d'accès requis dans une stratégie IAM écrite par un administrateur, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil.
Si vous essayez d'effectuer une action et qu'un message indique que vous n'y êtes pas autorisé, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Par exemple, la stratégie IAM suivante permet aux utilisateurs du groupe SecurityAdmins de créer, mettre à jour et supprimer toutes les régions de sécurité et toutes les recettes dans l'ensemble de la location.
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyReportez-vous à Stratégies Cloud Guard.