구현 보호

구현을 보안하려면 저장소 암호를 설정하고, OCID(로그 그룹 Oracle Cloud Identifier)를 얻고, 기본 정책을 생성해야 합니다.

저장소 암호 설정

이 스택을 사용하기 전에 ATP 비밀번호를 포함하는 저장소 암호를 생성해야 합니다. 비밀번호는 Vault에 저장되므로 Terraform 구성 또는 상태 파일에서 일반 텍스트로 사용되지 않습니다. 저장소 암호를 만드는 것은 이 플레이북의 범위를 벗어납니다. 암호 만들기 및 관리에 대한 자세한 내용은 아래의 Exlore More 절에 언급된 Vault 설명서를 참조하십시오.

로그 그룹 OCID 가져오기

로그 그룹 OCID를 얻으려면 이 프로시저를 사용하십시오.

1. https://cloud.oracle.com/loganalytics/loggroups로 이동합니다.
2. 기존 로그 그룹 선택. 존재하지 않는 경우 생성합니다.
3. Log Group Information 뷰를 열고 Log Group의 OCID를 복사합니다.
   로그 그룹 OCID는 다음 형식이어야 합니다.

   ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

기본 정책 생성

마지막으로 올바른 기본 정책이 생성되었는지 확인합니다. 이러한 정책은 다음과 같습니다.

1. type = 'managementagent' 리소스와 일치하는 지정된 컴파트먼트의 모든 리소스를 포함하는 동적 그룹입니다.

   ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}

2. 컴퓨트 인스턴스가 엔티티 자동 연관을 사용으로 설정하고 관리 에이전트가 Logging Analytics에 로그를 업로드할 수 있도록 허용하는 정책입니다. 이러한 정책은 테넌시 레벨에서 생성됩니다.

   Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy

3. 동적 그룹으로, 스택에서 선택된 컴파트먼트와 일치하는 컴퓨트 인스턴스를 선택합니다.

   ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}

4. 이전 단계의 동적 그룹과 일치하는 컴퓨트 인스턴스에 적용된 관리 에이전트 관리, 암호 읽기 및 자율운영 데이터베이스 읽기를 허용하는 정책입니다. 이러한 정책은 컴파트먼트 레벨에서 생성됩니다.

   ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
   ID compartment-id-selected-in-resource-manager 
   ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
   compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
   Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
   ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
   Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy