Documentação do Oracle Cloud Infrastructure

Conceitos Básicos do Security Advisor

Antes de criar recursos seguros com o Oracle Cloud Infrastructure Security Advisor, conclua estas tarefas de pré-requisito.

Para usar o Oracle Cloud Infrastructure, um administrador deve conceder a você acesso de segurança em uma política . Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador da tenancy o tipo de acesso que você tem e em qual compartimento trabalhar.

Para obter mais informações sobre como as políticas funcionam, consulte Como as Políticas Funcionam.

Políticas Obrigatórias do Serviço IAM para Criar Buckets

  • A política a seguir permite que o grupo especificado realize todas as operações com buckets e objetos no compartimento especificado:
    Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC
  • A política a seguir permite que o grupo especificado realize todas as operações com vaults no compartimento especificado, que talvez não seja o mesmo compartimento do bucket. (Se preferir, você poderá gravar uma política que conceda a permissão use vaults. Com essa permissão, o grupo especificado pode usar vaults existentes, mas não pode criar novos vaults.)
    Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF
  • A política a seguir permite que o grupo especificado realize todas as operações com chaves no compartimento especificado, que deve ser o mesmo compartimento do vault:
    Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF
  • A política a seguir permite que a lista de serviços do Object Storage exiba e execute operações criptografadas com todas as chaves no compartimento especificado:
    Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEF

    No exemplo anterior, substitua <region_name> pelo identificador de região apropriado, por exemplo:

    • objectstorage-us-phoenix-1

    • objectstorage-us-ashburn-1

    • objectstorage-eu-frankfurt-1

    • objectstorage-uk-london-1

    • objectstorage-ap-tokyo-1

    Para identificar o valor do nome de uma região do Oracle Cloud Infrastructure, consulte Sobre Regiões e Domínios de Disponibilidade.

Políticas Obrigatórias do Serviço IAM para Criar Sistemas de Arquivos

  • A política a seguir permite que o grupo especificado realize todas as operações com sistemas de arquivos e pontos de acesso NFS no compartimento especificado:
    Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC
  • A política a seguir permite que o grupo especificado realize todas as operações com vaults no compartimento especificado, que talvez não sejam o mesmo compartimento do sistema de arquivos. (Se preferir, você poderá gravar uma política que conceda a permissão use vaults. Com essa permissão, o grupo especificado pode usar vaults existentes, mas não pode criar novos vaults.)
    Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF
  • A política a seguir permite que o grupo especificado realize todas as operações com chaves no compartimento especificado, que deve ser o mesmo compartimento do vault:
    Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF
  • O grupo e a política a seguir permitem que os sistemas de arquivos do File Storage listem, exibam e executem operações criptográficas com todas as chaves no compartimento especificado.

    1. Crie um grupo dinâmico para os sistemas de arquivos com uma regra como a seguinte:

      ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

    2. Crie uma política que dê ao grupo dinâmico de sistemas de arquivos acesso para usar segredos do Vault:

      allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF

    3. Além de criar políticas para acesso do controlador de recursos, o usuário do serviço File Storage deve ter acesso para ler as chaves usando uma política como a seguinte:

      allow service FssOcNProd to use keys in compartment <compartment_name>

      O nome do usuário do serviço File depende do seu realm. Para realms com números de chave de realm de 10 ou menos, o padrão do usuário do serviço File Storage é FssOc<n>Prod, em que n é o número de chave de realm. Os domínios com um número de chave de realm maior que 10 têm um usuário de serviço fssocprod. Para obter mais informações sobre realms, consulte Sobre regiões e domínios de disponibilidade.

Políticas Obrigatórias do Serviço IAM para Criar Instâncias do Serviço Compute

  • A política a seguir permite que o grupo especificado liste e use todos os componentes no serviço Networking no compartimento especificado. Isso inclui redes virtuais na nuvem (VCNs), sub-redes, gateways, circuitos virtuais, listas de segurança, tabelas de roteamento etc.
    Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC
  • A política a seguir permite que o grupo especificado crie e gerencie imagens da instância no compartimento especificado:
    Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC
  • A política a seguir permite que o grupo especificado realize todas as operações com vaults no compartimento especificado, que talvez não seja o mesmo compartimento da instância. (Se preferir, você poderá gravar uma política que conceda a permissão use vaults. Com essa permissão, o grupo especificado pode usar vaults existentes, mas não pode criar novos vaults.)
    Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF
  • A política a seguir permite que o grupo especificado realize todas as operações com chaves no compartimento especificado, que deve ser o mesmo compartimento do vault:
    Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF
  • A política a seguir permite que a lista de serviços do serviço Block Volume exiba e execute operações criptografadas com todas as chaves do compartimento especificado. O serviço Block Volume é responsável pelo volume de inicialização anexado à instância.
    Allow service blockstorage to use keys in compartment CompartmentDEF

Políticas Obrigatórias do Serviço IAM para Criar Volumes em Blocos

  • A política a seguir permite que o grupo especificado realize todas as operações com volumes de armazenamento em blocos, backups de volumes e grupos de volumes no compartimento especificado:
    Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC
  • A política a seguir permite que o grupo especificado realize todas as operações com vaults no compartimento especificado, que talvez não seja o mesmo compartimento do volume. (Se preferir, você poderá gravar uma política que conceda a permissão use vaults. Com essa permissão, o grupo especificado pode usar vaults existentes, mas não pode criar novos vaults.)
    Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF
  • A política a seguir permite que o grupo especificado realize todas as operações com chaves no compartimento especificado, que deve ser o mesmo compartimento do vault:
    Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF
  • A política a seguir permite que a lista de serviços do Block Volume exiba e execute operações criptografadas com todas as chaves do compartimento especificado:
    Allow service blockstorage to use keys in compartment CompartmentDEF