Protegendo o Connector Hub
Este tópico fornece informações e recomendações de segurança para o serviço Oracle Cloud Infrastructure Connector Hub.
Responsabilidades de Segurança
Para usar o Connector Hub de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.
A Oracle é responsável pelos seguintes requisitos de segurança:
- Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste no hardware, software, rede e instalação usados para executar serviços do Oracle Cloud Infrastructure.
Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:
- Controle de Acesso: Limite o máximo de privilégios possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
Tarefas de Segurança Inicial
Use esta lista de verificação para identificar as tarefas que você executa para proteger o Connector Hub em uma nova tenancy do Oracle Cloud Infrastructure.
Tarefa | Mais Informações |
---|---|
Usar políticas do IAM para conceder acesso a usuários e recursos | Políticas do IAM |
Tarefas de Segurança da Rotina
Após começar a usar o Connector Hub, o usa esta lista de verificação para identificar as tarefas de segurança que recomendamos que você execute regularmente.
O Connector Hub não tem tarefas de segurança que você precisa executar regularmente.
Políticas do serviço IAM
Use políticas para limitar o acesso ao Connector Hub.
Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.
Atribua a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo pode executar. Na menor quantidade de acesso à maioria, os verbos disponíveis são: inspect
, read
, use
e manage
.
Políticas de Acesso do Usuário
Crie esta política para permitir que o grupo ConnectorUsers
crie, atualize e exclua conectores no compartimento ABC
.
Allow group ConnectorUsers to manage serviceconnectors in compartment ABC
Crie esta política para permitir que o grupo ConnectorUsers
atualize somente conectores (não permitindo que o grupo crie ou exclua conectores) no compartimento ABC
.
Allow group ConnectorUsers to use serviceconnectors in compartment ABC
Para obter mais informações sobre políticas do Connector Hub, consulte Detalhes do Connector Hub.
Políticas de Acesso ao Serviço
Certifique-se de que qualquer política criada esteja de acordo com as diretrizes da sua empresa.
Para mover dados, seu conector deve ter autorização para acessar os recursos especificados nos serviços de fonte , task e destino . Alguns recursos podem ser acessados sem políticas. As políticas padrão que fornecem a autorização necessária são oferecidas quando você usa a Console para definir um conector. Essas políticas são limitadas ao contexto do conector. Você pode aceitar as políticas padrão ou garantir que tenha as autorizações apropriadas em políticas personalizadas para acesso de usuário e serviço.
Por exemplo, a política padrão a seguir é oferecida quando você cria ou edita um conector que move dados do serviço Logging para o serviço Monitoring.
allow any-user to use metrics in compartment id <target_metric_compartment_OCID>
where all {
request.principal.type='serviceconnector',
target.metrics.namespace='<metric_namespace>',
request.principal.compartment.id='<serviceconnector_compartment_OCID>'
}
Para obter mais informações, incluindo políticas padrão, consulte Acesso a Serviços de Origem, Tarefa e Destino.
Acesso ao Conector entre Tenancies
Use o acesso do conector entre tenancies para compartilhar conectores com outra organização que tenha sua própria tenancy. Por exemplo, compartilhe conectores com outra unidade de negócios da sua empresa, um cliente ou uma empresa que fornece serviços para sua empresa.
Para criar um conector que acesse recursos em outras tenancies, use o SDK, a CLI ou a API do OCI. (O criador de políticas na Console não fornece informações de outras tenancies nem sugere instruções Endossar, Admitir ou Definir.) Para obter instruções sobre CLI e API, consulte Criando um Conector.
Para acessar e compartilhar recursos, os administradores de ambas as tenancies precisam criar instruções de política especiais que declarem explicitamente os recursos que podem ser acessados e compartilhados. Essas instruções especiais usam as palavras Define, Endorse e Admit. Para obter mais informações sobre essas instruções, consulte Endossar, Admitir e Definir Instruções (na página "Acessando Recursos do Serviço Object Storage entre Tenancies").
Instruções da Política da Tenancy de Origem
Use uma instrução de política na tenancy de origem para:
- Admitir um conector de uma tenancy de destino para acessar recursos na tenancy (de origem)
- Endossar um conector para acessar recursos na tenancy de destino
- Endossar um grupo para acessar recursos na tenancy de destino
Os exemplos de instruções de política a seguir são formatados para facilitar a leitura. Antes de usar cópias dessas instruções, remova novas linhas, guias e espaços.
- Admita qualquer conector da tenancy de destino para acessar um tipo específico de recurso na tenancy (de origem)
-
Define tenancy DestinationTenancy as <destination_tenancy_OCID> Admit any-user of tenancy DestinationTenancy to <permissions_for_resource_kind> in compartment id <compartment_OCID_in_source_tenancy> where all { request.principal.type='serviceconnector', request.principal.compartment.id=<compartment_OCID_in_destination_tenancy>' }
- Endossar um grupo em sua tenancy (de origem) para fazer qualquer coisa com qualquer conector em qualquer tenancy
-
Endorse group <group_name> to manage serviceconnectors in any-tenancy
- Endossar um grupo em sua tenancy (de origem) para fazer qualquer coisa com qualquer conector somente na tenancy de destino
-
Para gravar uma política que reduz o escopo do acesso da tenancy, o administrador de origem deve fazer referência ao OCID da tenancy de destino fornecido pelo administrador de destino.
Instruções da Política da Tenancy de Destino
Use uma instrução de política na tenancy de destino para:
- Endossar um conector para acessar recursos na tenancy de origem
- Admita um conector da tenancy de origem para acessar recursos na tenancy (de destino)
- Admita um grupo ou grupo dinâmico da tenancy de origem para acessar recursos na tenancy (de destino)
Os exemplos de instruções de política a seguir são formatados para facilitar a leitura. Antes de usar cópias dessas instruções, remova novas linhas, guias e espaços.
- Endossar qualquer conector em sua tenancy (de destino) para acessar um tipo específico de recurso na tenancy de origem
-
Define tenancy SourceTenancy as <source_tenancy_OCID> Endorse any-user to <permissions_for_resource_kind> in tenancy SourceTenancy where all { request.principal.type='serviceconnector' }
- Admitir que um grupo da tenancy de origem faça qualquer coisa com qualquer conector na tenancy (de destino)
-
Define tenancy SourceTenancy as <source_tenancy_OCID> Define group <group_name> as <group_OCID> Admit group <group_name> of tenancy SourceTenancy to manage serviceconnectors in tenancy
- Admita um grupo da tenancy de origem para ler conectores somente no compartimento
SharedConnectors
(na tenancy de destino) -
Define tenancy SourceTenancy as <source_tenancy_OCID> Define group <group_name> as <group_OCID> Admit group <group_name> of tenancy SourceTenancy to read serviceconnectors in compartment SharedConnectors
- Admita um grupo dinâmico da tenancy de origem para ler conectores somente no compartimento
SharedConnectors
(na tenancy de destino) -
Define tenancy SourceTenancy as <source_tenancy_OCID> Define dynamic-group <dynamic_group_name> as <group_OCID> Admit dynamic-group <dynamic_group_name> of tenancy SourceTenancy to read serviceconnectors in compartment SharedConnectors
Exemplos
- Crie políticas entre tenancies antes de criar o conector. Use o SDK, a CLI ou a API do OCI para criar um conector entre tenancies.
- Os exemplos a seguir de instruções de política são formatados para facilitar a leitura. Antes de usar cópias dessas instruções, remova novas linhas, guias e espaços.
- Para endossar ou admitir um conector para acesso a um recurso de origem, destino ou tarefa que não seja abordado nesses exemplos, use as permissões de recurso nas políticas padrão.
Origem do Fluxo em Outra Tenancy
Crie políticas para um conector para mover dados de um fluxo em outra tenancy para um bucket na tenancy do conector.
Callout | Descrição |
---|---|
2 | Fluxo usado como origem do conector |
2 | Conector que move dados do fluxo para o bucket |
3 | Bucket usado como destino do conector |
Veja a seguir as políticas para mover esses dados do fluxo na Tenancy A para o bucket na Tenancy B, usando o conector na Tenancy B.
- Tenancy A
- Admita qualquer conector no compartimento especificado da Tenancy B para acessar qualquer stream no compartimento especificado dessa tenancy.
- Tenancy B
- Endossar qualquer conector nesta tenancy para acessar qualquer fluxo na Tenancy A.
Origem de Log em Outra Tenancy
Gravar políticas para um conector para mover dados de um log em outra tenancy para um grupo de logs na tenancy do conector.
Callout | Descrição |
---|---|
2 | Log usado como origem do conector |
2 | Conector que move dados do log para o grupo de logs |
3 | Grupo de logs usado como destino do conector |
- Tenancy A
- Admita qualquer conector no compartimento especificado da Tenancy B para acessar qualquer log no compartimento especificado dessa tenancy.
- Tenancy B
- Endossar qualquer conector nesta tenancy para acessar qualquer log na Tenancy A.
Destino da Função em Outra Tenancy
Gravar políticas para um conector para mover dados de um log na tenancy do conector para uma função em outra tenancy.
Callout | Descrição |
---|---|
2 | Log usado como origem do conector |
2 | Conector que move dados do log para a função |
3 | Função usada como destino do conector |
- Tenancy A
- Endossar qualquer conector no compartimento especificado desta tenancy para acessar qualquer função no compartimento especificado da Tenancy B.
- Tenancy B
- Admita qualquer conector na Tenancy A para acessar qualquer função nessa tenancy.
Métrica de Origem e Bucket de Destino em Outras Tenancies
Gravar políticas para um conector para mover dados de uma métrica em outra tenancy (A) para uma função em outra tenancy (C).
Callout | Descrição |
---|---|
2 | Métrica usada como origem do conector |
2 | Conector que move dados da métrica para o bucket |
3 | Bucket usado como destino do conector |
- Tenancy A
- Admita qualquer conector no compartimento especificado da Tenancy B para acessar qualquer métrica no compartimento especificado dessa tenancy.
- Tenancy B
- Endossar qualquer conector nesta tenancy para acessar qualquer métrica na Tenancy A.
- Tenancy C
- Admita qualquer conector no compartimento especificado da Tenancy B para mover dados para qualquer bucket no compartimento especificado dessa tenancy.