1. Surveillance des journaux d'audit pour les bases de données Autonomous Transaction Processing
  2. Sécuriser votre implémentation

Sécuriser votre implémentation

Pour sécuriser votre implémentation, vous devez configurer une clé secrète de coffre, obtenir un identificateur Oracle Cloud (OCID) de groupe de journaux et créer les stratégies par défaut.

Configurer des clés secrètes Vault

La clé secrète du coffre doit être créée avec le mot de passe ATP avant d'utiliser cette pile. Le mot de passe est stocké dans Vault pour garantir que son utilisation n'est capturée en texte clair dans aucun des fichiers de configuration ou d'état Terraform. La création d'une clé secrète de coffre dépasse le cadre de ce manuel. Pour obtenir des informations complètes sur la création et la gestion des clés secrètes, reportez-vous à la documentation Vault citée dans la section Plus d'Exlore ci-dessous.

Obtention de l'OCID de groupe de journaux

Pour obtenir l'OCID du groupe de journaux, suivez cette procédure.

  1. Accédez à https://cloud.oracle.com/loganalytics/loggroups.
  2. Sélectionner un groupe de journaux existant. S'il n'en existe pas, créez-le.
  3. Ouvrez la vue Informations sur le groupe de journaux et, à partir de là, copiez l'OCID du groupe de journaux.
    L'OCID de groupe de journaux doit avoir le format suivant :

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Créer des stratégies par défaut

Enfin, vérifiez que les stratégies par défaut correctes ont été créées. Ces stratégies sont les suivantes :

  1. Groupe dynamique qui inclut toutes les ressources d'un compartiment donné correspondant à la ressource type = 'managementagent'. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. Stratégie permettant aux instances de calcul de permettre l'association automatique d'entités et à l'agent de gestion de télécharger des journaux vers Logging Analytics. Ces stratégies sont créées au niveau de la location.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. un groupe dynamique pour sélectionner les instances de calcul qui correspondent au compartiment sélectionné dans la pile. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Stratégies permettant de gérer les agents de gestion, de lire les clés secrètes et de lire les bases de données autonomes appliquées aux instances de calcul qui correspondent au groupe dynamique de l'étape précédente. Ces stratégies sont créées au niveau du compartiment.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy