Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの作成

セキュリティ・ゾーンを作成して、コンパートメント内のリソースがセキュリティ・ポリシーに準拠していることを確認します。

セキュリティ・ゾーンを作成する前に、テナンシでクラウド・ガードを有効にする必要があります。クラウド・ガードの開始を参照してください。

セキュリティ・ゾーンを作成するときに、Oracle管理のレシピまたはカスタム・レシピを選択できます。

コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードは次のアクションを実行します:
  • コンパートメントとそのサブコンパートメントの既存のクラウド・ガード・ターゲットを削除します
  • コンパートメントのセキュリティ・ゾーン・ターゲットの作成
  • デフォルトのOracle管理ディテクタ・レシピをセキュリティ・ゾーンのコンパートメントに追加します

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成する場合、クラウド・ガードはサブコンパートメントに対して個別のセキュリティ・ゾーン・ターゲットを作成します。親コンパートメントの既存のターゲットは変更されません。

次の図は、サブコンパートメント内の新しいセキュリティ・ゾーンのクラウド・ガード構成を示しています:


親コンパートメントはセキュリティ・ゾーンにあり、子コンパートメントは別のセキュリティ・ゾーンにあります。各コンパートメントは、クラウド・ガードの異なるセキュリティ・ゾーン・ターゲットに関連付けられています。子コンパートメントのセキュリティ・ゾーン・ターゲットは、デフォルトのディテクタ・レシピに関連付けられています。

フルサイズ・イメージの表示

注意

柔軟性を最大限に高めるために、テナンシのルート・コンパートメントにセキュリティ・ゾーンを割り当てないでください。ルート・コンパートメントに適用されるセキュリティ・ゾーンによって、テナンシ全体で可能なアクションが制約される場合があります。この構成は特定のユースケースに適していますが、ほとんどのユーザーには制限が多すぎます。
    1. 「セキュリティ・ゾーン」リスト・ページで、セキュリティ・ゾーンを作成するコンパートメントを選択します。リスト・ページまたはコンパートメント・フィルタの検索に関するヘルプが必要な場合は、セキュリティ・ゾーンのリストを参照してください。
    2. 「セキュリティ・ゾーンの作成」を選択します。

      選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合、このボタンは無効になります。

    3. 「セキュリティ・ゾーンの作成」パネルの「セキュリティ・ゾーン・レシピ」で、次のいずれかのオプションを選択します:
      • Oracle管理: セキュリティ・ゾーンでは、最大セキュリティ・レシピが使用されます。
      • 顧客管理: セキュリティ・ゾーンでは、選択したカスタム・レシピが使用されます。

      レシピが別のコンパートメントにある場合は、「コンパートメントの変更」を選択します。

    4. セキュリティ・ゾーンの名前および説明を入力します。

      セキュリティ・ゾーンの命名または説明時には、機密情報を表示しないようにしてください。

      セキュリティ・ゾーンの作成後に名前を変更することはできません。

    5. セキュリティ・ゾーンのコンパートメントを確認します。
    6. (オプション)セキュリティ・ゾーンにタグを適用します。

      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。リソース・タグを参照してください。作成後にセキュリティ・ゾーンにタグを適用することもできます。

    7. 次のいずれかのオプションを選択します:
      • セキュリティ・ゾーンを今すぐ作成するには、「セキュリティ・ゾーンの作成」を選択します。
      • リソース構成をTerraform構成として保存するには、「スタックとして保存」を選択します。

        リソース定義からのスタックの保存の詳細は、「リソース作成ページからのスタックの作成」を参照してください。

    新しいセキュリティ・ゾーンは「作成中」状態です。コンパートメントとそのサブコンパートメントをセキュリティ・ゾーンに関連付けるには、数分かかる場合があります。終了すると、セキュリティ・ゾーンは 「アクティブ」状態になります。

    このセキュリティ・ゾーンのコンパートメントに既存のリソースが含まれている場合は、ゾーンのレシピのポリシーに違反しているかどうかを確認できます。

  • セキュリティ・ゾーンを作成するには、oci cloud-guard security-zone createコマンドおよび必須パラメータを使用します:

    oci cloud-guard security-zone create --compartment-id <compartment_ocid> --display-name <security_zone_name> --security_zone-recipe-id <security_zone_recipe_ocid> [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateSecurityZone操作を実行して、セキュリティ・ゾーンを作成します。