OCIレスポンダ・レシピについて
クラウド・ガード・ディテクタは、レシピに組み合されたルールに従って問題を識別します。
レスポンダは、ディテクタが問題を検出したときにクラウド・ガードが実行できるアクションです。使用可能なアクションはリソース固有です。各レスポンダは、ディテクタが識別した問題に対応するために実行するアクションまたはアクションのセットを定義するレスポンダ・レシピを使用します。
各レスポンダ・レシピは、それぞれが実行する特定のアクションを定義する複数のレスポンダ・ルールを使用します。
クラウド・ガードには、デフォルト・ルールを備えたレスポンダのセットがあります。次を実行できます。
- これらのレスポンダをそのまま使用します。
- デフォルトのレスポンダをクローニングして、特定のニーズを満たすようにルールを変更します。
- レスポンダ・ルールを個別に有効および無効にします。
- 満たす必要がある条件を指定して、個々のルールを適用する範囲を制限します。
クラウド・ガードでは、2つのタイプのレスポンダ・レシピがサポートされます:
- Oracle管理レシピはOracleによって提供され、レシピ・ルール内のいくつかの設定のみを変更できます。
- ユーザー管理レシピは、通常はOracle管理レシピをクローニングして作成する必要があります。ユーザー管理レシピ・ルールでさらに設定を変更できます。
Oracle管理またはユーザー管理であるレシピで変更できる内容、およびレシピ・レベルとターゲット・レベルのどちらから変更を行っているかの詳細は、レシピおよびターゲット・レベルでのレシピの変更を参照してください。
OCIレスポンダのポリシー・ステートメント
特定のレスポンダに必要なポリシー・ステートメントを追加します。
注意
レスポンダを有効にすると、環境内のセキュリティ設定を変更して、レスポンダが検出した問題を修正する権限がクラウド・ガードに付与されます。これらの権限の付与が組織のセキュリティ・ポリシーに違反していないことを確認してください。
レスポンダを有効にすると、環境内のセキュリティ設定を変更して、レスポンダが検出した問題を修正する権限がクラウド・ガードに付与されます。これらの権限の付与が組織のセキュリティ・ポリシーに違反していないことを確認してください。
特定のレスポンダには、次のポリシー・ステートメントが必要になります。レスポンダ・タイプに基づいて、手動または自動の修正時にこれらのポリシーのいずれかが必要になります。
allow service cloudguard to manage instance-family in compartment <compartment_name>
allow service cloudguard to manage object-family in compartment <compartment_name>
allow service cloudguard to manage buckets in compartment <compartment_name>
allow service cloudguard to manage users in compartment <compartment_name>
allow service cloudguard to manage policies in compartment <compartment_name>
allow service cloudguard to manage keys in compartment <compartment_name>