Gestione delle zone di sicurezza
Creare e gestire le zone di sicurezza per proteggere le risorse in un compartimento.
È possibile eseguire le attività di gestione delle zone di sicurezza indicate di seguito.
- Lista di una zona di sicurezza
- Creazione di un'area di sicurezza
- Recupero dei dati di una zona di protezione
- Modifica di una Zona di Sicurezza
- Spostamento di una zona di sicurezza tra i compartimenti
- Eliminazione di una Zona di Sicurezza
- Rimozione di un compartimento secondario da una zona di sicurezza
- Aggiunta di un compartimento secondario rimosso a una zona di sicurezza
- Lista dei criteri delle zone di sicurezza in un compartimento
- Visualizzazione delle violazione dei criteri in un'area di sicurezza
- Visualizzazione dei compartimenti in una zona di sicurezza
Una zona di sicurezza presenta le caratteristiche indicate di seguito.
- Creato in un compartimento , ma non limitato a un singolo compartimento
- Associato a un singolo compartimento o a una gerarchia di compartimenti con un unico padre
- Assegnazione di una ricetta della zona della sicurezza
Un compartimento non può trovarsi in più zone di sicurezza.
Una volta creata una zona di sicurezza per un compartimento, questa impedisce automaticamente le operazioni, ad esempio la creazione o la modifica di risorse, che violano i criteri della zona di sicurezza. Qualsiasi operazione che viola un criterio nella recipe della zona viene negata. Tuttavia, anche le risorse esistenti create prima della zona di sicurezza potrebbero violare i criteri. Security Zones si integra con Oracle Cloud Guard per identificare le violazioni dei criteri nelle risorse esistenti.
È necessario abilitare Cloud Guard nella tenancy prima di creare una zona di sicurezza. Consulta Introduzione a Cloud Guard.
Ogni tenancy dispone di una recipe predefinita denominata Maximum Security Recipe, che include diversi criteri delle zone di sicurezza curati. Oracle gestisce questa recipe e non è possibile modificarla.
È possibile creare una recipe personalizzata o duplicarne una esistente. Vedere Gestione delle ricette nelle zone di sicurezza.
Quando si crea una zona di sicurezza per un compartimento, anche tutti i compartimenti secondari si trovano nella stessa zona di sicurezza. È inoltre possibile effettuare le operazioni riportate di seguito:
- Rimuovere un sottocompartimento da una zona di sicurezza
- Creare una zona di sicurezza diversa per un compartimento secondario
Per garantire l'integrità dei dati, non è possibile spostare determinate risorse da un compartimento in una zona di sicurezza a un compartimento che non si trova nella zona di sicurezza.
Criterio IAM necessario
Per utilizzare Oracle Cloud Infrastructure, devi ottenere il tipo di accesso richiesto in un criterio IAM scritto da un amministratore, indipendentemente dal fatto che tu stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.
Se si tenta di eseguire un'azione e si riceve un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, confermare con l'amministratore il tipo di accesso concesso e il compartimento in cui si dovrebbe lavorare.
Ad esempio, il seguente criterio IAM consente agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le zone e le recipe di sicurezza nell'intera tenancy.
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyVedere Criteri Cloud Guard.