Introduzione a Security Advisor
Prima di creare risorse sicure con Oracle Cloud Infrastructure Security Advisor, completare questi task dei prerequisiti.
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve concedere l'accesso di sicurezza in un criterio . Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato il messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si è proprietari e il compartimento in cui lavorare.
Per ulteriori informazioni sul funzionamento dei criteri, vedere Funzionamento dei criteri.
Criteri IAM obbligatori per la creazione dei bucket
- Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con i bucket e gli oggetti nel compartimento specificato.
Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC - Il criterio riportato di seguito consente al gruppo specificato di eseguire qualsiasi operazione con i vault nel compartimento specificato, che potrebbe non essere lo stesso compartimento del compartimento bucket. Se si preferisce, è possibile scrivere un criterio che conceda invece l'autorizzazione
use vaults. Con tale autorizzazione, il gruppo specificato può utilizzare i vault esistenti, ma non può crearne di nuovi.)Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con le chiavi nel compartimento specificato, che deve essere lo stesso compartimento del compartimento vault:
Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF - Il criterio riportato di seguito consente al servizio di storage degli oggetti di elencare, visualizzare ed eseguire operazioni di crittografia con tutte le chiavi nel compartimento specificato.
Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEFNell'esempio precedente, sostituire <region_name> con l'identificativo di area appropriato, ad esempio:
-
objectstorage-us-phoenix-1 -
objectstorage-us-ashburn-1 -
objectstorage-eu-frankfurt-1 -
objectstorage-uk-london-1 -
objectstorage-ap-tokyo-1
Per identificare il valore del nome dell'area di un'area Oracle Cloud Infrastructure, vedere Informazioni sulle aree e sui domini di disponibilità.
-
Criteri IAM necessari per la creazione dei file system
- Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con i file system e le destinazioni di MOUNT nel compartimento specificato.
Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con i vault nel compartimento specificato, che potrebbe non essere lo stesso compartimento del compartimento del file system. Se si preferisce, è possibile scrivere un criterio che conceda invece l'autorizzazione
use vaults. Con tale autorizzazione, il gruppo specificato può utilizzare i vault esistenti, ma non può crearne di nuovi.)Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con le chiavi nel compartimento specificato, che deve essere lo stesso compartimento del compartimento vault:
Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF - Il gruppo e il criterio riportati di seguito consentono ai file system di storage dei file di elencare, visualizzare ed eseguire operazioni di crittografia con tutte le chiavi nel compartimento specificato.
-
Creare un gruppo dinamico per i file system con una regola come la seguente:
ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' } -
Creare un criterio che consenta al gruppo dinamico di file system di accedere per utilizzare i segreti del vault:
allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF -
Oltre a creare criteri per l'accesso al principal delle risorse, all'utente del servizio di storage di file dovrebbe essere concesso l'accesso per leggere le chiavi utilizzando un criterio come il seguente:
allow service FssOcNProd to use keys in compartment <compartment_name>Il nome dell'utente del servizio di storage di file dipende dal reame in uso. Per i realm con numeri di chiave del realm inferiori o uguali a 10, il pattern per l'utente del servizio di storage di file è
FssOc<n>Prod, dove n è il numero di chiave del realm. I realm con un numero di chiave realm maggiore di 10 hanno un utente del serviziofssocprod. Per ulteriori informazioni sui realm, vedere Informazioni sulle aree e sui domini di disponibilità.
-
Criteri IAM necessari per la creazione delle istanze di computazione
- Il criterio riportato di seguito consente di elencare i gruppi specificati e di utilizzare tutti i componenti in Networking nel compartimento specificato. Sono incluse le reti cloud virtuali (VCN), le subnet, i gateway, i circuiti virtuali, le liste di sicurezza, le tabelle di instradamento e così via.
Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC - Il criterio riportato di seguito consente al gruppo specificato di creare e gestire le immagini delle istanze nel compartimento specificato.
Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con i vault nel compartimento specificato, che potrebbe non essere lo stesso compartimento del compartimento dell'istanza. Se si preferisce, è possibile scrivere un criterio che conceda invece l'autorizzazione
use vaults. Con tale autorizzazione, il gruppo specificato può utilizzare i vault esistenti, ma non può crearne di nuovi.)Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con le chiavi nel compartimento specificato, che deve essere lo stesso compartimento del compartimento vault:
Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF - Il criterio riportato di seguito consente al servizio per volume a blocchi di elencare, visualizzare ed eseguire operazioni di crittografia con tutte le chiavi nel compartimento specificato. Il servizio per volumi a blocchi è responsabile del volume di avvio collegato all'istanza.
Allow service blockstorage to use keys in compartment CompartmentDEF
Criteri IAM necessari per la creazione di volumi a blocchi
- Il criterio riportato di seguito consente al gruppo specificato di eseguire qualsiasi operazione con i volumi di storage a blocchi, i backup dei volumi e i gruppi di volumi nel compartimento specificato.
Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con i vault nel compartimento specificato, che potrebbe non essere lo stesso compartimento del compartimento del volume. Se si preferisce, è possibile scrivere un criterio che conceda invece l'autorizzazione
use vaults. Con tale autorizzazione, il gruppo specificato può utilizzare i vault esistenti, ma non può crearne di nuovi.)Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF - Il criterio riportato di seguito consente al gruppo specificato di eseguire tutte le operazioni con le chiavi nel compartimento specificato, che deve essere lo stesso compartimento del compartimento vault:
Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF - Il criterio riportato di seguito consente al servizio per volume a blocchi di elencare, visualizzare ed eseguire operazioni di crittografia con tutte le chiavi nel compartimento specificato.
Allow service blockstorage to use keys in compartment CompartmentDEF