インスタンス・セキュリティの有効化
クラウド・ガードでインスタンス・セキュリティを有効にします。
テナンシでインスタンス・セキュリティを有効にするには:
- Oracle管理のインスタンス・セキュリティ・ディテクタ・レシピのいずれかをクラウド・ガード・ターゲットに適用します。これにより、テナンシのクラウド・ガードのインスタンス・セキュリティが有効になります。インスタンス・セキュリティ・ディテクタ・レシピを参照してください。
新しいターゲットを作成することも、既存のターゲットを使用することもできます。「OCIターゲットについて」を参照してください。
- インスタンス・セキュリティ・ポリシーをテナンシに追加します。
新しいクラウド・ガード・ターゲットへのインスタンス・セキュリティ・レシピの適用
- インスタンス・セキュリティを有効にする最後のステップは、コンソールでポリシー・ステートメントを追加することです。
クラウド・ガード・ターゲットへのインスタンス・セキュリティ・レシピの適用
-
必要なリージョンごとに、「アクション」メニュー(
)を選択し、「ログの有効化」を選択します。
- 「ログの有効化」パネルに、ターゲットが存在するコンパートメントが表示されます。これは変更できません。
- 既存のログ・グループを選択するか、「新規グループの作成」を選択して新規ログ・グループを作成します。ログ・グループの管理を参照してください。
- ログを保持する時間(30日から180日までの値)を選択するか、カスタム・ログ保持値を設定します。
- 「ログの有効化」を選択します。
インスタンス・セキュリティを有効にする最後のステップは、コンソールでポリシー・ステートメントを追加することです。
インスタンス・セキュリティのポリシー・ステートメント
これらのポリシーは、インスタンス・セキュリティの有効化の一部としてコンソールに追加する必要があります。
ポリシーにより、インスタンス・セキュリティ・エージェントはテナンシ内の必要なリソースにアクセスでき、これらのポリシーがないと結果は得られません。
コンソールでポリシー・ステートメントを入力する方法の詳細は、ポリシーの作成を参照してください。
ユーザー・ポリシー・ステートメント
これらのポリシーは、オンデマンド問合せおよびスケジュール済問合せにインスタンス・セキュリティを使用するためのユーザー権限を提供します。ユーザー・ポリシーに追加し、groupを適切なユーザー・グループの名前に置き換えます。
Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to { CG_DATA_SOURCE_DELETE } in compartment <compartment>サービス・ロギング・ポリシー・ステートメント
これらのポリシーにより、ユーザーはログにアクセスできます。ユーザー・ポリシーに追加し、groupを適切なユーザー・グループの名前に置き換えます。
Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>テナント・ポリシー・ステートメント
これらのポリシーにより、インスタンス・セキュリティはテナンシ内の必要なリソースにアクセスできます。
Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }動的グループを使用したオンデマンド問合せおよびスケジュール済問合せへのアクセスの制御
動的グループを作成して、オンデマンド(アドホック)問合せおよびスケジュール済問合せを操作する必要があります。リソース・タイプは次のとおりです。
- オンデマンド問合せの場合は、
cloudguardadhocquery。 - スケジュール済問合せの場合は、
cloudguarddatasource。
ノート
- 各問合せは、リソース・タイプおよびオプションのタグに基づいて動的グループに自動的にリンクされます。
- アクセスは、問合せが属する動的グループによって決まります。
- 問合せにポリシーが存在しない場合は、問合せの実行時に認可されていない例外が取得されます。
この例では、問合せのタイプごとに動的グループを作成する方法を示します。詳細は、動的グループの管理を参照してください。
- 動的グループを作成します。
動的グループ 動的グループのステートメント adhoc_query_dgall { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}scheduled_query_dgall { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' } - 次に、コンパートメントまたはテナンシ(ルート・コンパートメント)の新しく作成された動的グループへの読取りインスタンス・アクセス権を付与するポリシーを作成します。
allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' } allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }テナンシまたはコンパートメントのポリシーの作成の詳細は、ポリシーの仕組みを参照してください。
- クエリーを作成できるようになりました。
タグを使用した問合せ権限の分離
タグを使用して、実行中のスケジュール済問合せを分離および分類できます。タグの使用の詳細は、タグ付けを参照してください。
ノート
タグを使用するには、CLIまたはAPIを使用してオンデマンド問合せまたはスケジュール済問合せを作成する必要があります。
タグを使用するには、CLIまたはAPIを使用してオンデマンド問合せまたはスケジュール済問合せを作成する必要があります。
- タグを使用して動的グループを作成します。
動的グループ 動的グループのステートメント adhoc_query_dgall { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }scheduled_query_dgall { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }たとえば、「Departments」というタグ・ネームスペースと、そのネームスペースに「department_type」というタグがあり、値リストは「hr」、「finance」、「marketing」、「it」であるとします。カスタム問合せの動的グループ文は次のようになります。
all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' } - 新しく作成された動的グループに読取りインスタンス・アクセス権を付与するポリシーを記述します。
allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' } allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' } - CLIまたはAPIを使用して、定義したタグで問合せを作成できるようになりました。