Remarques :

Centralisez les journaux de plusieurs locations Oracle Cloud Infrastructure dans un bucket de location Oracle Cloud Infrastructure central

Introduction

Dans certains cas, vous devez centraliser tous vos journaux au même endroit, même s'ils proviennent de locations différentes. Cela peut être dû aux réglementations de l'industrie ou aux politiques gouvernementales de l'entreprise ; quel que soit votre cas, vous pouvez faire face à différentes préoccupations de gestion pour y parvenir.

Dans ce tutoriel, nous centraliserons les journaux d'audit, de service ou personnalisés générés dans différentes locations Oracle Cloud Infrastructure (OCI), sous une location centrale à des fins d'archivage ou de visualisation, à l'aide de l'accès inter-location OCI et du service OCI Connector Hub.

Diagramme d'architecture

Diagramme relatif à l'architecture.

Remarque : pour ce tutoriel, toutes les locations doivent se trouver dans la même région.

Objectifs

Prérequis

Tâche 1 : créer des stratégies dans la location de destination

Les stratégies OCI IAM suivantes seront configurées dans la location de destination (location C), où réside le bucket OCI Object Storage.

  1. Récupérez les informations suivantes pour la location A.

    • OCID
    • OCID de compartiment, où OCI Connector Hub sera déployé.
  2. Récupérez les informations suivantes pour la location C.

    • Nom du compartiment, où le bucket a été créé.
  3. Créez les stratégies suivantes avec les informations collectées aux étapes 1 et 2.

    • Définissez la location distante.

      define tenancy SCTenancyA as <Tenancy A OCID>
      

      Remarque : mettez à jour <Tenancy A OCID> avec les informations collectées à l'étape 1.

    • Autorisez un principal de connecteur de service de la location distante à lire des buckets dans un compartiment local.

      admit any-user of tenancy SCTenancyA to read buckets in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
      

      Remarque : mettez à jour <Tenancy C Compartment name> et <Tenancy A Compartment OCID> avec les informations correspondantes.

    • Autorisez un principal de connecteur de service de la location distante à gérer les objets, limités aux actions d'inspection d'objet et de création d'objet, dans un bucket local.

      admit any-user of tenancy SCTenancyA to manage objects in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id=’ <Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
      

      Remarque :

      • Mettez à jour <Tenancy C Compartment name> et <Tenancy A Compartment OCID> avec les informations correspondantes.
      • Toutes les ressources sont dans la portée d'un compartiment source ou de destination. Pour plus d'informations sur les instructions d'approbation, d'admission et de définition, reportez-vous à la rubrique Instructions d'approbation, d'admission et de définition.
  4. Connectez-vous à la console OCI, accédez à Identité et sécurité, puis cliquez sur Stratégies.

  5. Assurez-vous que vous êtes dans le compartiment racine et cliquez sur Créer une stratégie.

  6. Entrez le nom, la description et cliquez sur Afficher l'éditeur manuel.

  7. Ecrivez les stratégies créées dans la tâche 1.3 et cliquez sur Créer.

Les stratégies doivent ressembler à :

Policies_destination.

Tâche 2 : créer des stratégies dans la location source

Les stratégies OCI IAM suivantes doivent être configurées dans chaque location source (location A et location B), où OCI Connector Hub sera déployé. OCI Connector Hub collectera et enverra les journaux au référentiel central.

  1. Récupérez les informations suivantes pour la location A.

    • OCID de compartiment, où OCI Connector Hub sera déployé.
  2. Récupérez les informations suivantes pour la location C.

    • OCID
  3. Créez les stratégies suivantes avec les informations collectées aux étapes 1 et 2.

    • Définissez la location distante.

      Define tenancy OSTenancyC as <Tenancy C OCID>
      

      Remarque : mettez à jour <Tenancy C OCID> avec les informations correspondantes.

    • Autorisez un principal de connecteur de service de la location locale à lire des buckets dans une location de destination.

      endorse any-user to read buckets in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
      

      Remarque : mettez à jour <Tenancy A Compartment OCID> avec les informations correspondantes.

    • Autorisez un principal de connecteur de service de la location locale à gérer les objets, limités aux actions d'inspection d'objet et de création d'objet, dans la location de destination.

      endorse any-user to manage objects in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
      

      Remarque :

      • Mettez à jour <Tenancy A Compartment OCID> avec les informations correspondantes.
      • Toutes les ressources sont dans la portée d'un compartiment source ou de destination. Pour plus d'informations sur les instructions d'approbation, d'admission et de définition, reportez-vous à la rubrique Instructions d'approbation, d'admission et de définition.
  4. Connectez-vous à la console OCI, accédez à Identité et sécurité, puis cliquez sur Stratégies.

  5. Assurez-vous que vous êtes dans le compartiment racine et cliquez sur Créer une stratégie.

  6. Entrez le nom, la description et cliquez sur Afficher l'éditeur manuel.

  7. Entrez les stratégies préparées dans la tâche 2.3 et cliquez sur Créer.

Les stratégies doivent ressembler à :

Policies_source.

Tâche 3 : déploiement d'OCI Connector Hub dans la location source

Déployez OCI Connector Hub dans les locations source (location A et location B), à l'aide de l'interface de ligne de commande OCI.

Remarque : pour créer un connecteur qui accède aux ressources d'autres locations, vous devez utiliser le kit SDK OCI, l'interface de ligne de commande ou l'API.

  1. Connectez-vous à l'interface de ligne de commande OCI de la location source (location A et location B). Pour ce tutoriel, nous allons utiliser OCI Cloud Shell. Pour plus d'informations sur l'utilisation d'OCI Cloud Shell, reportez-vous à Utilisation de Cloud Shell.

  2. Créez deux fichiers avec le contenu suivant, nommés source.json et target.json.

    • source.json : définit les sources de journal de la location source (location A ou location B), où les journaux seront collectés.

      Mettez à jour les paramètres suivants avec vos valeurs dans l'exemple de code.

      • <Tenancy A OCID where Audit log resides>
      • <Tenancy A Compartment OCID where log group resides>
      • <Tenancy A Log Group OCID>
      • <Tenancy A _Log-ID OCID_>
      {
      
      "kind": "logging",
      
      "logSources": [
      
      					{
      
      					"compartment-id": "_<Tenancy A OCID where Audit log resides>_",
      
      					"log-group-id": "_Audit_Include_Subcompartment",
      
      					"log-id": null
      
      					},
      
      					{
      
      					"compartment-id": "_<Tenancy A Compartment OCID where log group resides>_",
      
      					"log-group-id": _"<Tenancy A Log Group OCID>",_
      
      					"log-id": "<Tenancy A _Log-ID OCID_>"
      
      					}
      
      				]
      
      }
      

      Remarque : l'exemple source.json ci-dessus comporte deux sources de journal : la première configure OCI Connector Hub pour collecter les journaux d'audit à partir du compartiment racine et de tous les sous-compartiments. Le second configure OCI Connector Hub pour collecter des journaux spécifiques à partir d'un groupe de journaux (défini par log-id et log-group-id), comme un journal de sous-réseau. Vous pouvez ajouter ou enlever des sources de journal de cette configuration, si nécessaire.

    • Target.json : définit le bucket dans la location de destination (location C), où les journaux seront archivés.

      {
      			"kind": "objectStorage",
      			"bucketName": "<Tenancy C bucket name>",
      			"namespace": "<Tenancy C namespace where bucket was created>"
      }
      

      Remarque : vous pouvez obtenir l'espace de noms de bucket à partir des détails de bucket.

  3. Exécutez la commande suivante .

    oci sch service-connector create --compartment-id <Compartment OCID where SCH will be placed in Tenancy A> --display-name <Display name> --source file://Source.json --target file://Target.json
    

    Remarque : les fichiers source.json et target.json doivent être accessibles.

    Connector_deployment.

  4. Répétez les étapes 1 à 3 pour toutes les autres locations source, le cas échéant. Pour plus d'options de cible OCI Connector Hub, vous pouvez consulter la référence ObjectStorageTargetDetails.

  5. Vérifiez les résultats.

    • Un hub de connecteur OCI sera créé dans la location source avec les sources définies et le bucket de destination.

      Connector_console.

    • Le bucket de destination contiendra une entrée pour chaque instance OCI Connector Hub.

      Bucket_Content.

Remerciements

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.