保护实施

要确保实施安全，您需要设置 Vault 密钥、获取日志组 Oracle Cloud 标识符 (OCID) 并创建默认策略。

设置 Vault 密钥

在使用此堆栈之前，必须创建包含 ATP 密码的 Vault 密钥。密码存储在 Vault 中，以确保在任何 Terraform 配置或状态文件中都不会以明文形式获取其使用。创建 Vault 密钥不在本剧本的范围之内。有关创建和管理密钥的完整信息，请参阅下面 Exlore More 部分中引用的 Vault 文档。

获取日志组 OCID

要获取日志组 OCID，请使用此过程。

导航到 https://cloud.oracle.com/loganalytics/loggroups。
选择现有日志组。如果不存在，请创建它。
打开 "Log Group Information" 视图，然后从其中复制日志组的 OCID。
日志组 OCID 的格式应为：
ocid1.loganalyticsloggroup.oc1.phx.amaa...SNIP...75w5fa

创建默认策略

最后，验证是否已创建正确的默认策略。这些策略包括：

一个动态组，用于在指定区间中包括与资源 type = 'managementagent' 匹配的所有资源。

ALL {resource.type='managementagent', resource.compartment.id='compartment-id-selected-in-resource-manager'}

允许计算实例启用实体自动关联和管理代理将日志上载到日志分析的策略。这些策略是在租户级别创建的。
```
Allow DYNAMIC-GROUP dynamic-group-name_resource-type_managementagent to {LOG_ANALYTICS_LOG_GROUP_UPLOAD_LOGS} in tenancy
```
一个动态组，用于选择与堆栈中选择的区间匹配的计算实例。
```
ANY {instance.compartment.id = 'compartment-id-selected-in-resource-manager'}
```

允许管理代理、读取密钥和读取自上一步起应用于与动态组匹配的计算实例的自治数据库。这些策略是在区间级别创建的。

ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO MANAGE management-agents IN COMPARTMENT 
ID compartment-id-selected-in-resource-manager 
ALLOW DYNAMIC-GROUP dynamic-group-name_matching_computeinstances TO READ secret-family in COMPARTMENT ID 
compartment-id-selected-in-resource-manager where target.secret.id = secret-id_selected-in-resource-manager 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to READ autonomous-database in COMPARTMENT 
ID compartment-id-selected-in-resource-manager where target.workloadType = 'OLTP' 
Allow DYNAMIC-GROUP dynamic-group-name_matching_computeinstances to {LOG_ANALYTICS_SOURCE_ENABLE_AUTOASSOC} in tenancy