Documentação do Oracle Cloud Infrastructure

Segurança do Monitoring

Este tópico fornece informações e recomendações de segurança para o serviço Oracle Cloud Infrastructure Monitoring.

Responsabilidades de Segurança

Para usar o Monitoring de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

  • Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

  • Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.

Tarefas iniciais de segurança

Use esta lista de verificação para identificar as tarefas que você executa para proteger o Monitoring em uma nova tenancy do Oracle Cloud Infrastructure.

Tarefa Mais Informações
Usar políticas de IAM para conceder acesso a usuários e recursos Políticas do serviço IAM

Tarefas de Segurança de Rotina

Depois de se familiarizar com o serviço Monitoring, use esta lista de verificação para identificar tarefas de segurança que recomendamos que você execute regularmente.

O monitoramento não tem nenhuma tarefa de segurança que você precise executar regularmente.

Políticas do Serviço IAM

Use políticas para limitar o acesso ao Monitoring.

Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.

Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.

Para obter mais informações sobre políticas de Monitoramento, consulte Detalhes das Verificações de Integridade.

Acesso de Alarme para Grupos

Listar Alarmes e Status do Alarme

Crie esta política para permitir que um grupo liste alarmes e liste status de alarme.

Allow group <group_name> to inspect alarms in tenancy

Obter Detalhes e Histórico do Alarme

Crie esta política para permitir que um grupo obtenha detalhes do alarme e obtenha histórico de alarmes. A linha read metrics é obrigatória para obter o histórico de alarmes.

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

Gerenciar Alarmes

Crie esta política para permitir que um grupo gerencie alarmes, usando streams e tópicos existentes para notificações. Esta política não permite a criação de novos tópicos.

Observação

Para limitar o grupo às permissões necessárias para selecionar streams, substitua use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Gerenciar Alarmes e Criar Tópicos

Crie essa política para permitir que um grupo gerencie alarmes, incluindo criação de tópicos (e assinaturas) para notificações (e uso de streams para notificações).

Observação

Para limitar o grupo às permissões necessárias para selecionar streams, substitua use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Acesso à Métrica para Grupos

Listar Definições de Métrica

Crie esta política para permitir que um grupo liste as definições de métrica em um compartimento.

Allow group <group_name> to inspect metrics in compartment <compartment_name>

Métricas de Consulta

Crie esta política para permitir que um grupo consulte métricas em um compartimento.

Allow group <group_name> to read metrics in compartment <compartment_name>

Consultar Métricas para um Namespace de Métrica

Crie esta política para permitir que um grupo consulte métricas em um compartimento, restrito a um namespace de métricas.

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

Publicar Métricas Personalizadas

Crie esta política para permitir que um grupo publice métricas personalizadas em um namespace de métricas, além de exibir dados de métricas, criar alarmes e tópicos e usar streams com alarmes.

Observação

Para limitar o grupo às permissões necessárias para selecionar streams, substitua use streams por {STREAM_READ, STREAM_PRODUCE}.
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

Acesso à Métrica para Recursos

Se você quiser que instâncias de computação ou outros recursos monitorem métricas por meio de chamadas de API, execute as etapas a seguir.

Para obter mais informações sobre instâncias de computação que chamam APIs, consulte Chamando Serviços de uma Instância.

  1. Adicione os recursos a um grupo dinâmico usando suas regras de correspondência.

  2. Crie uma política que permita que esse grupo dinâmico acesse métricas.

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

Acesso à Métrica entre Tenancies

Use o acesso à métrica entre tenancies para compartilhar métricas com outra organização que tenha sua própria tenancy. Por exemplo, compartilhe métricas com outra unidade de negócios da sua empresa, um cliente da sua empresa ou uma empresa que forneça serviços para ela.

Para acessar e compartilhar recursos, os administradores de ambas as tenancies precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit. Para obter mais informações sobre essas instruções, consulte Políticas de Acesso entre Tenancies.

Instruções da Política da Tenancy de Origem

Os administradores da tenancy de origem e de destino criam instruções de política que suportam um grupo do serviço IAM de origem que tem permissão para gerenciar recursos na tenancy de destino.

Exemplo: Endossar MetricsAdminsUserGroup para fazer qualquer coisa com qualquer recurso de métrica em qualquer tenancy:

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

Para gravar uma política que reduz o escopo do acesso da tenancy, o administrador de origem deve referenciar o OCID da tenancy de destino fornecido pelo administrador de destino.

Exemplo: Endosse MetricsAdminsUserGroup para ler apenas recursos de métrica na tenancy de destino (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

Para permitir que um grupo publice métricas na tenancy de destino, use o verbo manage:

Exemplo: Endossar MetricsAdminsUserGroup para gerenciar recursos de métrica somente na tenancy de destino (DestinationTenancy):

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

Exemplo: Endossar um grupo dinâmico (MetricsAdminsDynamicGroup) para ler recursos de métrica na tenancy de destino:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

Instruções da Política da Tenancy de Destino

Exemplo: Endossar MetricsAdminsUserGroup na tenancy de origem (MetricsAdminsUserGroupInSource) para fazer qualquer coisa com qualquer recurso de métrica em sua tenancy:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

Exemplo: Endossar MetricsAdminsUserGroup na tenancy de origem (MetricsAdminsUserGroupInSource) para ler recursos de métricas somente no compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

Exemplo: Endossar um grupo dinâmico (MetricsAdminsDynamicGroup) na tenancy de origem (MetricsAdminsDynamicGroupInSource) para ler recursos de métrica somente no compartimento SharedMetrics:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics