実装の保護

実装を保護するには、ボールト・シークレットを設定し、ログ・グループOracle Cloud Identifier (OCID)を取得して、デフォルト・ポリシーを作成する必要があります。

Vaultシークレットの設定

このスタックを使用する前に、ATPパスワードを含むVaultシークレットを作成する必要があります。パスワードはVaultに格納され、Terraform構成ファイルまたは状態ファイルのクリア・テキストで使用が取得されないようにします。ボールト・シークレットの作成は、このプレイブックの範囲外です。シークレットの作成および管理の詳細は、後述のExlore Moreセクションに記載されているVaultのドキュメントを参照してください。

ログ・グループOCIDの取得

ログ・グループOCIDを取得するには、この手順を使用します。

https://cloud.oracle.com/loganalytics/loggroupsに移動します。
既存のログ・グループを選択します存在しない場合は作成します。
「ログ・グループ情報」ビューを開き、そこからログ・グループのOCIDをコピーします。
ログ・グループOCIDは次の形式である必要があります:
ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

デフォルト・ポリシーの作成

最後に、正しいデフォルト・ポリシーが作成されていることを確認します。それらのポリシーを次に示します。

リソースtype = 'managementagent'に一致する特定のコンパートメント内のすべてのリソースを含める動的グループ。
```
ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
```
コンピュート・インスタンスがエンティティ自動アソシエーションを有効にし、管理エージェントがログをログ・アナリティクスにアップロードできるようにするポリシー。これらのポリシーはテナンシ・レベルで作成されます。
```
Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
```
スタックで選択したコンパートメントに一致するコンピュート・インスタンスを選択する動的グループ。
```
ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
```

前のステップの動的グループに一致するコンピュート・インスタンスに適用された管理エージェントの管理、シークレットの読取りおよび自律型データベースの読取りを可能にするポリシー。これらのポリシーはコンパートメント・レベルで作成されます。

ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy