セキュリティ

各OCIテナンシには、デフォルトでテナンシ管理者グループのメンバーである管理者アカウントが含まれます。管理者グループは、テナンシ全体へのフル・アクセス権を付与します。このため、テナンシの日常的な管理には管理者アカウントを使用しないことをお薦めします。

ベスト・プラクティスは、管理者グループを緊急シナリオ用に予約することです。個々の管理者に、テナンシ全体へのフル・アクセス権を持つ1人のユーザーがいなくても、それぞれの領域を管理する権限を付与できます。

Identity Cloud ServiceインスタンスがOCIのネイティブ部分になると、管理者グループのメンバーはIAMアイデンティティ・ドメインを管理するためのフル・アクセス権を持ちます。これは、現在のIdentity Cloud Service管理者がOCIアカウントに対する管理権限を持っていることを意味しません。

管理者グループの使用が組織のセキュリティ・ポリシーと一致していることを確認します。

場合によっては、OCI_Administratorsというグループが、テナンシの作成中に提供されたIDCSインスタンスに追加されます(通常はIdentityCloudServiceと呼ばれます)。このグループは、作成時にユーザーが割り当てられていないデフォルト・アイデンティティ・ドメインの管理者グループにマップされます。テナンシ全体へのフル・アクセス権をユーザーに付与する場合は、IdentityCloudServicedomainのOCI_Administratorsグループに追加できます。

アイデンティティ・ドメイン管理者ロールを持つユーザーは、そのアイデンティティ・ドメインの管理権限を持っています。ベスト・プラクティスは、アイデンティティ・ドメイン管理者が、タスクの実行に必要な管理職責の最小セットを使用して、他の管理者(ユーザー管理者など)を作成することです。管理者ロールの理解を参照してください。

管理者ロールは、特定のアイデンティティ・ドメインにスコープ指定されます。そのため、たとえば、DomainBのユーザー管理者は、DomainBのユーザーのみを管理でき、DomainAのユーザーを管理できません。

管理者ロールとは対照的に、ポリシーはテナンシのコンパートメントに適用されます。そのため、たとえば、DomainAのグループfooのユーザーには、次のようなポリシーが与えられます。

allow group DomainA/foo to manage users in tenancy

これにより、テナンシ全体に対する権限がユーザーに付与されます。

アイデンティティ・ドメインでは、パスワード・ルールの設定に使用されるIAM認証設定がパスワード・ポリシーの一部になりました。複数のパスワード・ポリシーを定義して、異なるグループに割り当てることができます。サインオン・ポリシーの管理を参照してください。

ネットワーク・ソースを使用して、ユーザーがコンソールへのサインインなどの特定のアクションを実行できる許可されたIPアドレスのセットを指定している場合は、アイデンティティ・ドメインを使用してネットワーク・ペリメータを使用して同じ操作を実行できます。「ネットワーク・ペリメータの管理」を参照してください。

1. Identity Cloud Serviceを移行する前に、使用するネットワーク・ソース(my-allow-list 140.160.240.0/24など)をノートにとります。
2. テナンシの移行後、同じIPアドレスを使用してネットワーク・ペリメータを作成します。ネットワーク・Perimeterの作成を参照してください。
3. サインオン・ポリシーやアイデンティティ・プロバイダ・ポリシーなど、新しいネットワーク・ペリメータを参照するポリシーを作成します。

デフォルトのサインオン・ポリシーを使用してIdentity Cloud Serviceコンソールを保護している場合、そのポリシーは移行後も引き続きルールを適用します。

移行後、OCIコンソールはアカウントで有効になり、OCIコンソールのセキュリティ・ポリシーと呼ばれる新しいサインオン・ポリシーによって保護されます。

サインオン・ポリシーの詳細は、「サインオン・ポリシーとサインオン・ルールについて」を参照してください。