監査の概要
Oracle Cloud Infrastructure Auditサービスについて説明します。このサービスでは、サポートされているすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールが自動的にログ・イベントとして記録されます。
現在、すべてのサービスが監査によるロギングをサポートしています。オブジェクト・ストレージ・サービスでは、バケット関連イベントのロギングがサポートされていますが、オブジェクト関連イベントのロギングはサポートされていません。監査サービスによって記録されるログ・イベントには、Oracle Cloud Infrastructure Console、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)、独自のカスタム・クライアント、またはその他のOracle Cloud Infrastructureサービスによって実行されるAPIコールが含まれます。ログの中の情報には、次の情報が含まれています。
- APIアクティビティが発生した時間
- アクティビティのソース
- アクティビティのターゲット
- アクションのタイプ
- レスポンスのタイプ
各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。監査サービスによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。
バージョン2監査ログ・スキーマ
2019年10月8日に、Oracleは監査バージョン2のスキーマを導入しました。これには、次の利点があります。
- リソースの状態変更を取得します
- 長時間実行中のAPIのトラッキングの向上
- トラブルシューティング情報をログに記録します
時間の経過とともに新しいスキーマが実装されます。Oracleでは、バージョン1形式の監査ログを引き続き提供しますが、コンソールからバージョン1形式のログにアクセスすることはできません。コンソールにバージョン2のログのみ表示されます。ただし、すべてのリソースがバージョン2のスキーマを使用してログを生成しているわけではありません。バージョン2形式で生成しないサービスの場合、Oracleは、バージョン1のログをバージョン2のログに変換し、バージョン2のスキーマの情報が判別できない場合はフィールドを空白のままにします。
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックを参照してください。使用可能なSDKのリストは、ソフトウェア開発キットおよびコマンドライン・インタフェースを参照してください。
API使用についての一般情報は、REST APIを参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセスのタイプを制御する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの作成、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、アイデンティティ・ドメインの管理を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
管理者以外の通常のユーザーで、会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、ユーザーが使用できるコンパートメントを確認できます。
管理者: 監査ログへのアクセスをグループに許可するポリシーの例は、「必要なIAMポリシー」を参照してください。監査ログの保持期間を変更するには、管理者グループのメンバーである必要があります。管理者グループとポリシーを参照してください。