1. Monitorare i log di audit per i database Autonomous Transaction Processing
  2. Proteggi la tua implementazione

Proteggi la tua implementazione

La protezione dell'implementazione richiede l'impostazione di un segreto vault, il recupero di un OCID (Oracle Cloud Identifier) del gruppo di log e la creazione dei criteri predefiniti.

Imposta segreti vault

Prima di utilizzare questo stack, è necessario creare il segreto vault contenente la password ATP. La password viene memorizzata nel vault per garantire che il relativo utilizzo non venga acquisito in testo in chiaro in alcun file di configurazione o di stato Terraform. La creazione di un segreto vault va oltre l'ambito di questo playbook. Per informazioni complete sulla creazione e la gestione dei segreti, fare riferimento alla documentazione del Vault citata nella sezione Exlore More riportata di seguito.

Ottenere l'OCID del gruppo di log

Per ottenere l'OCID del gruppo di log, attenersi alla procedura riportata di seguito.

  1. Passare a https://cloud.oracle.com/loganalytics/loggroups.
  2. Seleziona un gruppo di log esistente. Se non esiste, crearla.
  3. Aprire la vista Informazioni gruppo di log e copiare l'OCID del gruppo di log.
    L'OCID del gruppo di log deve essere nel seguente formato:

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Crea criteri predefiniti

Infine, verificare che siano stati creati i criteri predefiniti corretti. Di seguito sono riportati i criteri disponibili.

  1. Gruppo dinamico per includere tutte le risorse in un determinato compartimento che corrisponde alla risorsa type = 'managementagent'. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. un criterio che consente alle istanze di computazione di abilitare l'associazione automatica delle entità e al Management Agent di caricare i log in Logging Analytics. Questi criteri vengono creati a livello di tenancy.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. un gruppo dinamico per selezionare le istanze di computazione che corrispondono al compartimento selezionato nello stack. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Criteri per consentire la gestione dei Management Agent, la lettura dei segreti e la lettura del database autonomo applicato per le istanze di computazione che corrispondono al gruppo dinamico del passo precedente. Questi criteri vengono creati a livello di compartimento.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy