1. Monitorar logs de auditoria para bancos de dados Autonomous Transaction Processing
  2. Proteja Sua Implementação

Proteja Sua Implementação

A proteção da sua implementação requer que você configure um segredo do vault, obtenha um OCID (Oracle Cloud Identifier) do Grupo de Logs e crie as políticas padrão.

Configurar segredos do Vault

O segredo do Vault deve ser criado contendo a senha ATP antes de usar essa pilha. A senha é armazenada no Vault para garantir que seu uso não seja capturado em texto sem formatação em nenhum dos arquivos de configuração ou estado do Terraform. Criar um segredo de vault está além do escopo deste manual. Consulte a documentação do Vault citada na seção Mais da Exlore, abaixo, para obter informações completas sobre como criar e gerenciar segredos.

Obter o OCID do Grupo de Logs

Para obter o OCID do grupo de logs, use este procedimento.

  1. Navegue até https://cloud.oracle.com/loganalytics/loggroups.
  2. Selecione um grupo de logs existente. Se não houver um, crie-o.
  3. Abra a view Informações do Grupo de Logs e, a partir daí, copie o OCID do Grupo de Logs.
    O OCID do Grupo de Logs deve estar neste formato:

    ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

Criar Políticas Padrão

Por fim, verifique se as políticas padrão corretas foram criadas. Estas políticas são:

  1. Um grupo Dinâmico para incluir todos os recursos em um determinado compartimento que corresponda ao recurso type = 'managementagent'. 
    ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}
  2. uma Política para permitir que as instâncias de computação ativem a associação automática de entidades e o Management Agent para fazer upload de logs para o Logging Analytics. Essas políticas são criadas no nível da Tenancy.
    Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
  3. um grupo Dinâmico para selecionar instâncias de computação que correspondam ao compartimento selecionado na pilha. 
    ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
  4. Políticas para permitir o gerenciamento de agentes de gerenciamento, ler segredos e ler banco de dados autônomo aplicado a instâncias de computação que correspondam ao grupo dinâmico da etapa anterior. Essas políticas são criadas no nível do compartimento.
    ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy