Observação:

Este tutorial requer acesso ao Oracle Cloud. Para se cadastrar em uma conta gratuita, consulte Conceitos básicos do Oracle Cloud Infrastructure Free Tier.
Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Centralizar Logs de Várias Tenancies do Oracle Cloud Infrastructure em um Bucket Central da Tenancy do Oracle Cloud Infrastructure

Introdução

Há alguns casos em que você precisa centralizar todos os seus logs em um só lugar, mesmo que sejam de tenancies diferentes. Pode ser devido a regulamentos da indústria ou políticas governamentais da empresa; qualquer que seja o seu caso, você pode enfrentar diferentes preocupações de gestão para conseguir isso.

Neste tutorial, centralizaremos logs de auditoria, serviço ou personalizados gerados em diferentes tenancies do Oracle Cloud Infrastructure (OCI), em uma tenancy central com fins de arquivamento ou visualização, usando o acesso entre tenancies do OCI e o serviço OCI Connector Hub.

Diagrama de Arquitetura

Diagrama de Arquitetura.

Tenancy A: Origem de logs na Região 1.
Tenancy B: Origem de logs na Região 1.
Tenancy C: Destino dos logs na Região 1.

Observação: Para este tutorial, todas as tenancies devem estar na mesma região.

Objetivos

Crie políticas na tenancy de destino.
Crie políticas na tenancy de origem.
Implante um OCI Connector Hub na tenancy de origem.

Pré-requisitos

Todos os logs personalizados ou de serviço necessários (VCN, Gateway de API do OCI, Armazenamento de Objetos do OCI etc.) já ativados na tenancy; isso está fora do escopo deste tutorial. Os logs de auditoria da tenancy são ativados por padrão.
O bucket do OCI Object Storage criado na tenancy de destino.
Usuário do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) em cada tenancy com privilégios suficientes para implantar este tutorial, incluindo permissão para configurar políticas no compartimento raiz (requisito para instruções de política entre tenancies).

Tarefa 1: Criar Políticas na Tenancy de Destino

As políticas do OCI IAM a seguir serão configuradas na tenancy de destino (Tenancy C), na qual reside o bucket do OCI Object Storage.

Recupere as informações a seguir para a Tenancy A.
- OCID
- OCID do Compartimento, no qual o OCI Connector Hub será implantado.
Recupere as informações a seguir para a Tenancy C.
- Nome do compartimento, no qual o bucket foi criado.
Crie as políticas a seguir com as informações coletadas nas etapas 1 e 2.
- Defina a tenancy remota.
```
define tenancy SCTenancyA as <Tenancy A OCID>
```
  Observação: Atualize <Tenancy A OCID> com as informações coletadas na etapa 1.
- Permita que um controlador do conector de serviço da tenancy remota leia buckets em um compartimento local.
```
admit any-user of tenancy SCTenancyA to read buckets in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
```
  Observação: Atualize <Tenancy C Compartment name> e <Tenancy A Compartment OCID> com as informações correspondentes.
- Permita que um controlador do conector de serviço da tenancy remota gerencie objetos, restritos a inspeção de objetos e ações de criação de objetos, em um bucket local.
```
admit any-user of tenancy SCTenancyA to manage objects in compartment <Tenancy C Compartment name> where all { request.principal.type='serviceconnector', request.principal.compartment.id=’ <Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
```
  Observação:
  - Atualize <Tenancy C Compartment name> e <Tenancy A Compartment OCID> com as informações correspondentes.
  - Todos os recursos estão no escopo de um compartimento de origem ou de destino. Para obter mais informações sobre Instruções de Endosso, Admissão e Definição, consulte Instruções de Endosso, Admissão e Definição.
Faça log-in na Console do OCI, navegue até Identidade e Segurança e clique em Políticas.
Verifique se você está no compartimento raiz e clique em Criar Política.
Informe Nome, Descrição e clique em Mostrar editor manual.
Grave as políticas criadas na Tarefa 1.3 e clique em Criar.

As políticas devem se parecer com:

Policies_destination.

Tarefa 2: Criar Políticas na Tenancy de Origem

As políticas do OCI IAM a seguir devem ser configuradas em cada tenancy de origem (Tenancy A e Tenancy B), em que um OCI Connector Hub será implantado. O OCI Connector Hub coletará e enviará os logs para o repositório central.

Recupere as informações a seguir para a Tenancy A.
- OCID do Compartimento, no qual o OCI Connector Hub será implantado.
Recupere as informações a seguir para a Tenancy C.
- OCID
Crie as políticas a seguir com as informações coletadas nas etapas 1 e 2.
- Defina a tenancy remota.
```
Define tenancy OSTenancyC as <Tenancy C OCID>
```
  Observação: Atualize <Tenancy C OCID> com as informações correspondentes.
- Permitir que um controlador do conector de serviço da tenancy local leia buckets em uma tenancy de destino.
```
endorse any-user to read buckets in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' }
```
  Observação: Atualize <Tenancy A Compartment OCID> com as informações correspondentes.
- Permita que um controlador do conector de serviço da tenancy local gerencie objetos, restritos a inspeção de objetos e ações de criação de objetos, na tenancy de destino.
```
endorse any-user to manage objects in tenancy OSTenancyC where all {request.principal.type = 'serviceconnector', request.principal.compartment.id='<Tenancy A Compartment OCID>' , any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}
```
  Observação:
  - Atualize <Tenancy A Compartment OCID> com as informações correspondentes.
  - Todos os recursos estão no escopo de um compartimento de origem ou de destino. Para obter mais informações sobre Instruções de Endosso, Admissão e Definição, consulte Instruções de Endosso, Admissão e Definição
Faça log-in na Console do OCI, navegue até Identidade e Segurança e clique em Políticas.
Verifique se você está no compartimento raiz e clique em Criar Política.
Informe Nome, Descrição e clique em Mostrar editor manual.
Informe as políticas preparadas na Tarefa 2.3 e clique em Criar.

As políticas devem se parecer com:

Policies_source.

Tarefa 3: Implantar um Hub Conector do OCI na Tenancy de Origem

Implante o OCI Connector Hub nas tenancies de origem (Tenancy A e Tenancy B), usando a CLI do OCI.

Observação: Para criar um conector que acesse recursos em outras tenancies, use o OCI SDK, a CLI ou a API.

Conecte-se à CLI do OCI da tenancy de origem (Tenancy A e Tenancy B). Para este tutorial, usaremos o OCI Cloud Shell. Para obter mais informações sobre como usar o OCI Cloud Shell, consulte Usando o Cloud Shell.
Crie dois arquivos com o conteúdo a seguir, denominado source.json e target.json.
- source.json: Definirá a(s) origem(ns) de log da tenancy de origem (Tenancy A ou Tenancy B), na qual os logs serão coletados.
  
  Atualize os parâmetros a seguir com seus valores no código de amostra.
  - <Tenancy A OCID where Audit log resides>
  - <Tenancy A Compartment OCID where log group resides>
  - <Tenancy A Log Group OCID>
  - <Tenancy A _Log-ID OCID_>
```
{

"kind": "logging",

"logSources": [

					{

					"compartment-id": "_<Tenancy A OCID where Audit log resides>_",

					"log-group-id": "_Audit_Include_Subcompartment",

					"log-id": null

					},

					{

					"compartment-id": "_<Tenancy A Compartment OCID where log group resides>_",

					"log-group-id": _"<Tenancy A Log Group OCID>",_

					"log-id": "<Tenancy A _Log-ID OCID_>"

					}

				]

}
```
  Observação: A amostra source.json acima tem duas origens de log: A primeira configurará o OCI Connector Hub para coletar logs de auditoria do compartimento raiz e de todos os subcompartimentos. A segunda configurará o OCI Connector Hub para coletar logs específicos de um grupo de logs (definido por log-id e log-group-id), como um log de sub-rede. Você pode adicionar ou remover origens de log desta configuração, conforme necessário.
- Target.json: Definirá o bucket na tenancy de destino (Tenancy C), em que os logs serão arquivados.
```
{
			"kind": "objectStorage",
			"bucketName": "<Tenancy C bucket name>",
			"namespace": "<Tenancy C namespace where bucket was created>"
}
```
  Observação: Você pode obter o namespace do bucket com base nos detalhes do bucket.

Execute o seguinte comando.

oci sch service-connector create --compartment-id <Compartment OCID where SCH will be placed in Tenancy A> --display-name <Display name> --source file://Source.json --target file://Target.json

Observação: os arquivos source.json e target.json devem estar acessíveis.

Connector_deployment.

Repita a etapa 1 a 3 para todas as outras tenancies de origem, conforme necessário. Para obter opções adicionais de destino do OCI Connector Hub, consulte a Referência ObjectStorageTargetDetails.
Verifique os resultados.
- Você terá um Hub Conector do OCI criado na tenancy de origem com as origens definidas e o bucket de destino.
- O bucket de destino conterá uma entrada para cada OCI Connector Hub.

Reconhecimentos

Autores - Jaime Rojas (Engenheiro da LAD A-Team), Michel Roitman (Engenheiro da LAD A-Team Cloud Security)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

Título e Informações de Copyright

Centralize Logs from Multiple Oracle Cloud Infrastructure Tenancies into a Central Oracle Cloud Infrastructure Tenancy Bucket

F96832-01

April 2024

Oracle e/ou suas empresas afiliadas.