コンソール・ダッシュボードの保護

コンソール・ダッシュボード・サービスを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

• 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
• セキュリティ・パッチ適用: Oracleは、Oracle Cloud Infrastructureサービスに最新のセキュリティ・パッチが適用されるように、毎月セキュリティ・パッチ適用を実行します。

セキュリティ責任には次の領域が含まれます。

• アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
• 暗号化と機密性:暗号化キーおよびシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでコンソール・ダッシュボードを保護するために実行するタスクを識別します。

コンソール・ダッシュボード・サービスには、定期的に実行する必要があるセキュリティ・タスクはありません。

コンソール・ダッシュボードへのアクセスを制限するには、ポリシーを使用します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。

このポリシーを作成して、グループDashboardUsersが、ダッシュボードおよびダッシュボード・グループの削除を除くすべてのアクションをコンソール・ダッシュボード・サービスで実行できるようにします。DASHBOARD_DELETEおよびDASHBOARD_GROUP_DELETE権限をテナンシおよびコンパートメント管理者に制限します。

Allow group DashboardUsers to manage dashboards-family in tenancy
            where request.permission!='DASHBOARD_DELETE'
            and where request.permission!='DASHBOARD_GROUP_DELETE'

コンソール・ダッシュボード・ポリシーの詳細およびその他の例を表示するには、コンソール・ダッシュボードのポリシー詳細を参照してください。

コンソール・ダッシュボード・サービスは、サービスに保存されているすべてのデータに標準のOracle Cloud Infrastructure暗号化を使用します。構成は不要です

コンソール・ダッシュボード・サービスではバックアップは作成されません。データの削除後は、データをリストアできません。ポリシーを使用して、コンソール・ダッシュボードへのアクセスを制限し、ユーザーがデータを削除できるように制限します。

コンソール・ダッシュボード・サービスは、HTTPSプロトコルを使用してデータを保護し、IAMポリシーを使用してAPIを保護します。

コンソール・ダッシュボード・サービスは、Oracle Cloud Infrastructure Auditサービスを使用して、コンソール・ダッシュボード・サービス・リソースに対して行われたコールを記録します。Auditサービスでは、次のログ・イベントが記録されます。

• コンソール、CLIまたはSDKによって実行されるAPIコール
• 他のOracle Cloud Infrastructureサービスによるコール
• 使用するカスタムクライアントによって行われたコール