Oracle Cloud Infrastructureドキュメント

セキュリティ・アドバイザの開始

Oracle Cloud Infrastructure Security Advisorを使用してセキュアなリソースを作成する前に、次の前提条件タスクを完了します。

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、テナンシ管理者に連絡して、どのタイプのアクセス権があり、どのコンパートメントで作業するかを確認してください。

ポリシーの動作の詳細は、ポリシーの仕組みを参照してください。

バケットの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のバケットおよびオブジェクトに関するすべての操作を実行できます:
    Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、バケット・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトを作成することはできません。)
    Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、オブジェクト・ストレージ・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます:
    Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEF

    前述の例では、次のように<region_name>を適切なリージョン識別子に置き換えます:

    • objectstorage-us-phoenix-1

    • objectstorage-us-ashburn-1

    • objectstorage-eu-frankfurt-1

    • objectstorage-uk-london-1

    • objectstorage-ap-tokyo-1

    Oracle Cloud Infrastructureリージョンのリージョン名の値を識別するには、リージョンおよび可用性ドメインについてを参照してください。

ファイル・システムの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のファイル・システムおよびマウント・ターゲットに関するすべての操作を実行できます:
    Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、ファイル・システム・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトは作成できません。)
    Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF
  • 次のグループおよびポリシーにより、File Storageファイル・システムは、指定されたコンパートメント内のすべてのキーで暗号化操作をリスト、表示および実行できます。

    1. 次のようなルールを使用して、ファイルシステムの動的グループを作成します。

      ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

    2. Vaultシークレットを使用するためのファイル・システムの動的グループ・アクセス権を付与するポリシーを作成します:

      allow dynamic-group DynamicGroupName to use keys in compartment CompartmentDEF

    3. リソース・プリンシパル・アクセスのポリシーを作成する以外に、File Storageサービス・ユーザーには、次のようなポリシーを使用してキーを読み取るためのアクセス権を付与する必要があります:

      allow service FssOcNProd to use keys in compartment <compartment_name>

      ファイル・ストレージ・サービス・ユーザーの名前は、レルムによって異なります。レルム・キー番号が10以下のレルムの場合、ファイル・ストレージ・サービス・ユーザーのパターンはFssOc<n>Prodです(nはレルム・キー番号)。レルム・キー番号が10より大きいレルムのサービス・ユーザーはfssocprodです。レルムの詳細は、リージョンおよび可用性ドメインについてを参照してください。

コンピュート・インスタンスの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のネットワーキングのすべてのコンポーネントをリストおよび使用できます。これには、仮想クラウド・ネットワーク(VCN)、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。
    Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のインスタンス・イメージを作成および管理できます:
    Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、インスタンス・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトは作成できません。)
    Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、ブロック・ボリューム・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます。ブロック・ボリューム・サービスは、インスタンスにアタッチされたブート・ボリュームの処理を担当します。
    Allow service blockstorage to use keys in compartment CompartmentDEF

ブロック・ボリュームの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループに関するすべての操作を実行できます:
    Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、ボリューム・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトを作成することはできません。)
    Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、ブロック・ボリューム・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます:
    Allow service blockstorage to use keys in compartment CompartmentDEF