Documentazione dell'infrastruttura Oracle Cloud

Protezione del monitoraggio

Questo argomento fornisce informazioni e suggerimenti sulla sicurezza per il servizio Oracle Cloud Infrastructure Monitoring.

Responsabilità di sicurezza

Per utilizzare il monitoraggio in modo sicuro, scopri le tue responsabilità in materia di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

  • Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

  • Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.

Task di sicurezza iniziali

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere il monitoraggio in una nuova tenancy di Oracle Cloud Infrastructure.

Attività Ulteriori informazioni
Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse Criteri IAM

Task di sicurezza di routine

Dopo aver iniziato a utilizzare il servizio di monitoraggio, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.

Il monitoraggio non prevede task di sicurezza da eseguire regolarmente.

Criteri IAM

Utilizzare i criteri per limitare l'accesso al monitoraggio.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.

Per ulteriori informazioni sui criteri di monitoraggio, vedere Dettagli per i controlli dello stato.

Accesso allarmi per gruppi

Recupera dettagli allarme e cronologia

Creare questo criterio per consentire a un gruppo di ottenere i dettagli dell'allarme e ottenere la cronologia degli allarmi. Per ottenere la cronologia degli allarmi è necessaria la riga read metrics.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gestisci allarmi

Creare questo criterio per consentire a un gruppo di gestire gli allarmi, utilizzando i flussi e gli argomenti esistenti per le notifiche. Questo criterio non consente la creazione di nuovi argomenti.

Nota

Per limitare il gruppo alle autorizzazioni necessarie per la selezione dei flussi, sostituire use streams con {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gestisci allarmi e crea argomenti

Creare questo criterio per consentire a un gruppo di gestire gli allarmi, inclusa la creazione di argomenti (e sottoscrizioni) per le notifiche (e l'utilizzo dei flussi per le notifiche).

Nota

Per limitare il gruppo alle autorizzazioni necessarie per la selezione dei flussi, sostituire use streams con {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accesso alle metriche per i gruppi

Elenca definizioni metriche

Creare questo criterio per consentire a un gruppo di elencare le definizioni delle metriche in un compartimento.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Metriche query

Creare questo criterio per consentire a un gruppo di eseguire query sulle metriche in un compartimento.

Allow group <group_name> to read metrics in compartment <compartment_name>

Metriche query per uno spazio di nomi metrica

Creare questo criterio per consentire a un gruppo di eseguire query sulle metriche in un compartimento, limitato a uno spazio di nomi delle metriche.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Pubblica metriche personalizzate

Creare questo criterio per consentire a un gruppo di pubblicare metriche personalizzate in uno spazio di nomi delle metriche, nonché visualizzare i dati delle metriche, creare allarmi e argomenti e utilizzare i flussi con allarmi.

Nota

Per limitare il gruppo alle autorizzazioni necessarie per la selezione dei flussi, sostituire use streams con {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Accesso alle metriche per le risorse

Se desideri che le istanze di computazione o altre risorse monitorino le metriche tramite chiamate API, effettua le operazioni riportate di seguito.

Per ulteriori informazioni sulle istanze di computazione che richiamano le API, vedere Chiamata di servizi da un'istanza.

  1. Aggiungere le risorse a un gruppo dinamico utilizzando le relative regole di corrispondenza.

  2. Creare un criterio che consenta al gruppo dinamico di accedere alle metriche.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Accesso alle metriche cross-tenancy

Utilizza l'accesso alle metriche cross-tenancy per condividere le metriche con un'altra organizzazione che dispone di una propria tenancy. Ad esempio, condividere le metriche con un'altra business unit dell'azienda, un cliente dell'azienda o un'azienda che fornisce servizi all'azienda.

Per accedere e condividere le risorse, gli amministratori di entrambe le tenancy devono creare istruzioni criteri speciali che specifichino in modo esplicito le risorse a cui è possibile accedere e condividere. Queste istruzioni speciali utilizzano le parole Definisci, Approva e Ammetti. Per ulteriori informazioni su queste istruzioni, vedere Criteri di accesso tra tenancy.

Istruzioni criteri tenancy di origine

Gli amministratori della tenancy di origine e di destinazione creano istruzioni criteri che supportano un gruppo IAM di origine autorizzato a gestire le risorse nella tenancy di destinazione.

Esempio: approvare MetricsAdminsUserGroup per eseguire qualsiasi operazione con qualsiasi risorsa di metrica in qualsiasi tenancy:

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Per scrivere un criterio che riduce l'ambito dell'accesso alla tenancy, l'amministratore di origine deve fare riferimento all'OCID della tenancy di destinazione fornito dall'amministratore di destinazione.

Esempio: approvare MetricsAdminsUserGroup per leggere le risorse di metrica solo nella tenancy di destinazione (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Per consentire a un gruppo di pubblicare le metriche nella tenancy di destinazione, utilizzare il verbo manage:

Esempio: approvare MetricsAdminsUserGroup per gestire le risorse di metrica solo nella tenancy di destinazione (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Esempio: approvare un gruppo dinamico (MetricsAdminsDynamicGroup) per leggere le risorse di metrica nella tenancy di destinazione:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Istruzioni criteri tenancy di destinazione

Esempio: approvare MetricsAdminsUserGroup nella tenancy di origine (MetricsAdminsUserGroupInSource) per eseguire qualsiasi operazione con qualsiasi risorsa di metrica nella tenancy:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Esempio: approvare MetricsAdminsUserGroup nella tenancy di origine (MetricsAdminsUserGroupInSource) per leggere le risorse delle metriche solo nel compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Esempio: approvare un gruppo dinamico (MetricsAdminsDynamicGroup) nella tenancy di origine (MetricsAdminsDynamicGroupInSource) per leggere le risorse di metrica solo nel compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics