Oracle Cloud Infrastructureドキュメント

セキュアな仮想マシン・インスタンスの作成

セキュリティ・アドバイザを使用して、コンピュートにセキュアな仮想マシン(VM)インスタンスを作成します。このコンテキストでは、セキュアなインスタンスは、顧客管理キーで暗号化されたブート・ボリュームを持つため、セキュリティ・ゾーンによって設定される最小セキュリティ要件を満たします。

インスタンスおよび関連するブート・ボリュームの作成に加えて、ボリュームの暗号化に使用するVaultキーを作成し、そのキーをボリュームに割り当てます。(セキュリティ・アドバイザを使用して既存の暗号化キーを割り当てることはできませんが、既存のボールトを使用して新しいキーを作成できます。)

セキュリティ・アドバイザを使用したVMインスタンスの作成には、次の制限があります。

  • インスタンスのプライベートIPアドレスまたはパブリックIPアドレスは構成できません。
  • イメージ・ビルドは変更できません。常に最新バージョンが使用されます。
  • 専用VMホストではインスタンスを作成できません。このホストでは、共有インフラストラクチャで実行しないようにインスタンスを分離して実行できます。
  • ブート・ボリュームのボリューム・パフォーマンス設定は指定できません。
  • セキュリティ・アドバイザを使用してインスタンスへのリモート接続用のSSHキーを生成することはできません(Secure Shell (SSH)の使用)。インスタンスの作成時に、SSHキーを生成し、その公開キーを使用可能にする必要があります。

セキュリティ・アドバイザの外部には、作成後のリソースの使用など、その他のセキュリティ上の考慮事項があります。コンピュートおよびブロック・ボリュームのセキュリティ機能およびベスト・プラクティスについてさらに学習し、新しく作成されたリソースで実装することをお薦めします。詳細は、コンピュートの保護ブロック・ボリュームの保護 およびコンピュート・インスタンスのベスト・プラクティスを参照してください。

コンソールの使用

セキュア・インスタンスを作成する前に、必要な権限があり、仮想クラウド・ネットワーク(VCN)が存在している必要があります。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」「セキュリティ・アドバイザ」の順に選択します。
  2. 「セキュアなインスタンスの作成」をクリックします。
  3. 開始の前提条件を確認し、「次」をクリックします。
  4. 「Vaultの選択」ページで、次のいずれかのオプションを選択します。
    • 既存のボールトにマスター暗号化キーを作成するには、「既存Vaultの選択」を選択します。
    • 新しいボールトにマスター暗号化キーを作成するには、「新規Vaultの作成」を選択します。
  5. 前のステップでの選択に応じて、次のいずれかのアクションを実行します。
    • 既存のボールトの使用を選択した場合は、ボールトが存在するコンパートメントを選択し、ボールトを選択します。
    • ボールトの作成を選択した場合は、ボールトを作成するコンパートメントを選択し、ボールトを識別する表示名を入力します。機密情報を入力しないでください。オプションで、「仮想プライベート・ボールトにする」チェック・ボックスを選択して、ボールトを仮想プライベート・ボールトにします。ボールト・タイプの詳細は、キーおよびシークレット管理の概念を参照してください。
  6. 「次へ」をクリックします。
  7. 「キーの作成」ページで、キーを識別する名前を入力します。

    機密情報を入力しないでください。

    「Key Shape: Length」の値は256ビットに固定され、鍵の長さに基づいてセキュリティーが最大化されます。

    「キー・シェイプ: アルゴリズム」の値がAdvanced Encryption Standard (AES)に設定されます。

  8. (オプション)既存のボールトを使用していて、キー・マテリアルをインポートしてキーを作成する場合、「外部キーのインポート」チェック・ボックスを選択します。

    キー・マテリアルをインポートするには、最初にキー・マテリアルを生成し、ボールトの公開ラッピング・キーを使用してそれをラップする必要があります。このオプションは、新規ボールトの作成時には使用できません。キーのインポートの詳細は、キーおよびキー・バージョンのインポートを参照してください。

  9. キーにタグを適用するには、「タグ付けオプションの表示」をクリックします。
  10. 「次へ」をクリックします。
  11. 「コンピュート・インスタンスの作成」ページで、インスタンスの属性を指定します
    • 名前:インスタンスの表示名を入力します。instance-YYYYMMDD-HHMMの書式を使用して、現在の年、月、日および時間を反映するデフォルト名が生成されます。オプションで、デフォルト名を変更します。Oracle Cloud Identifier (OCID)でインスタンスを一意に識別するため、この名前は一意である必要はありません。機密情報を入力しないでください。
    • コンパートメントに作成:インスタンスを作成するコンパートメントを選択します。これは、Vaultおよびキーと同じコンパートメントである必要はありません。
    • イメージまたはオペレーティング・システム:デフォルトでは、Oracle Linux 7.xイメージを使用してインスタンスが起動されます。セキュリティ・アドバイザを使用して、別のイメージを持つVMインスタンスを作成することはできません。
    • 可用性ドメイン:インスタンスを作成する可用性ドメインを選択します。
    • シェイプ:選択したイメージと可用性ドメインの組合せのデフォルト・シェイプ。セキュリティ・アドバイザを使用して、別のシェイプを持つ仮想マシン・インスタンスを作成することはできません。シェイプの詳細は、コンピュート・シェイプを参照してください。
  12. 「ネットワーキングの構成」セクションで、インスタンスのネットワーク詳細を構成します。
    • 仮想クラウド・ネットワークの選択:インスタンスを作成するネットワークを選択します。既存のVCNのみを選択できます。セキュリティ・アドバイザを使用して、新しいVCNを作成できません。別のコンパートメント内のVCNを使用するには、「コンパートメントの変更」をクリックし、別のコンパートメントを選択します。
    • サブネットの選択:インスタンスをアタッチするVCN内のサブネット。サブネットは、パブリックまたはプライベートです。プライベートでは、そのサブネット内のインスタンスはパブリックIPアドレスを持つことができません。インスタンスのセキュリティを向上するため、プライベート・サブネットを選択することをお薦めします。詳細は、インターネットへのアクセスを参照してください。サブネットは、アベイラビリティ・ドメインに固有またはリージョナル(リージョナル・サブネットは名前の後に"regional"が付きます)のいずれかです。リージョナル・サブネットを使用することをお薦めします。

      デフォルトでは、パブリック・サブネットにインスタンスを作成する場合、オプションでインスタンスにパブリックIPアドレスを割り当てることができます。パブリックIPアドレスによって、インスタンスにインターネットからアクセスできます。セキュリティ・アドバイザを使用して、パブリックIPアドレスを持つVMインスタンスを作成することはできません。

  13. 「ブート・ボリューム」セクションで、インスタンスのブート・ボリュームのサイズおよび暗号化オプションを構成します。
    • ブート・ボリュームのカスタム・サイズを指定するには、「カスタム・ブート・ボリュームを指定します」チェック・ボックスを選択します。次に、50 GBから32,768 GB (32 TB)までのカスタム・サイズを入力します。指定するサイズは、選択したイメージのデフォルトのブート・ボリューム・サイズより大きくする必要があります。詳細は、カスタム・ブート・ボリュームのサイズを参照してください。
    • インスタンスとアタッチされたブート・ボリューム間でのデータの転送中にデータを暗号化するには、「転送中暗号化の使用」チェック・ボックスを選択します。保存中のブート・ボリューム・データの暗号化に使用するVaultサービス暗号化キーは、転送中暗号化にも使用されます。詳細は、ブロック・ボリュームの暗号化を参照してください。セキュリティ・ゾーンでは転送中にデータを暗号化する必要があるため、セキュリティ・ゾーンの要件に準拠するには、このチェック・ボックスを選択する必要があります。
  14. 「SSHキーの追加」セクションで、次のいずれかのオプションを選択します:
    • SSHキー・ファイルの選択:キー・ペアの公開キー部分をアップロードします。アップロードするキー・ファイルを選択するか、ボックスにファイルをドラッグします。多くのキーを指定するには、コマンド・キー(Mac)または[Ctrl]キー(Windows)を押したままファイルを選択します。
    • SSHキーのペースト:ボックスにキー・ペアの公開キー部分をペーストします。
    • SSHキーなし: SSHキーを指定しない場合、SSHを使用してインスタンスに接続することはできません。
    重要

    OCIによって生成されたキー・ペアを使用するには、OpenSSHがインストールされているシステムからインスタンスにアクセスします。OpenSSHは、Linux、MacOS、WindowsおよびWindows Serverの現在のすべてのバージョンにデフォルトで含まれています。詳細は、Linuxインスタンスでのキー・ペアの管理を参照してください。
  15. (オプション)インスタンスにタグを適用するには、「タグ付けオプションの表示」をクリックします。

    リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。

  16. 「次へ」をクリックします。
  17. (オプション)この構成をスタックとしてリソース・マネージャに保存するには、「スタックとして保存」をクリックします。

    詳細は、リソース作成ページからのスタックの作成を参照してください。

  18. セキュリティ・アドバイザが作成するリソースのサマリーを確認し、「セキュアなインスタンスの作成」をクリックします。