Documentazione dell'infrastruttura Oracle Cloud

Protezione dell'applicazione di tag

Questo argomento fornisce informazioni e suggerimenti sulla sicurezza per Oracle Cloud Infrastructure Tagging.

Responsabilità di sicurezza

Per utilizzare l'applicazione di tag in modo sicuro, conoscere le responsabilità relative a sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

  • Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

  • Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.

Task di sicurezza iniziali

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere l'applicazione di tag in una nuova tenancy di Oracle Cloud Infrastructure.

Attività Ulteriori informazioni
Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse Criteri IAM
Gestire le credenziali utilizzando i segreti Privacy

Criteri IAM

Utilizzare i criteri per limitare l'accesso all'applicazione di tag.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.

Si consiglia di concedere le autorizzazioni MANAGE a un set minimo di utenti e gruppi IAM. Questa pratica riduce al minimo la perdita di dati da eliminazioni involontarie da parte di utenti autorizzati o da attori malintenzionati. Fornire le autorizzazioni MANAGE solo agli amministratori di tag.

Per gestire gli spazi di nomi tag e le definizioni dei tag

L'esempio riportato di seguito consente a un utente del gruppo di gestire uno spazio di nomi tag nella tenancy.

Allow group GroupA to manage tag-namespaces in tenancy
Per concedere l'accesso a uno spazio di nomi tag

Un utente del gruppo A dispone delle autorizzazioni necessarie per gestire le istanze in un compartimento. Affinché l'utente possa applicare una tag a un'istanza in un compartimento, è necessario aggiungere l'istruzione seguente al criterio del gruppo A. Questa istruzione concede al gruppo l'accesso allo spazio di nomi specificato.

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
Per concedere l'accesso per aggiungere le impostazioni predefinite delle tag
Per aggiungere impostazioni predefinite tag sono necessarie le seguenti autorizzazioni:
  • manage tag-defaults per accedere al compartimento in cui si desidera aggiungere la tag predefinita.
  • use tag-namespaces per accedere al compartimento in cui risiede lo spazio di nomi tag.
  • inspect tag-namespaces per accedere alla tenancy.

Affinché un gruppo denominato GroupA possa aggiungere una tag predefinita a un compartimento denominato CompartmentA in cui risiede il set di spazi di nomi tag, scrivere un criterio con le istruzioni riportate di seguito.

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

Per ulteriori informazioni sui criteri di applicazione di tag e per visualizzare altri esempi, vedere Dettagli per IAM senza domini di Identity.

Controllo dell'accesso

Oltre a creare criteri IAM, bloccare l'accesso alle risorse di destinazione o alla risorsa richiedente utilizzando il controllo dell'accesso basato su tag. Il controllo dell'accesso basato su tag fornisce un altro livello di sicurezza limitando e concedendo l'accesso a un determinato gruppo di utenti o risorse in un compartimento.

Per ulteriori informazioni su questa funzione nell'applicazione di tag, vedere Utilizzo delle tag per gestire l'accesso

Privacy

Non utilizzare i tag come metodo per memorizzare informazioni riservate o riservate. Utilizzare il servizio Vault per cifrare e gestire i segreti.