Oracle Cloud Infrastructureドキュメント

セキュリティ構成例

Acme Companyは国際企業であり、Oracle Cloud Infrastructureにテナンシがあります。 テナンシのホーム・リージョンは、ドイツ・セントラル(フランクフルト)です。 米国の部門には、Project AとProject Bの2つのプロジェクトがあり、Oracle Data Safeで監査およびデータ・マスキング・アクティビティに役立てる必要があります。 テナンシ管理者であるSusanは、これらのプロジェクトをサポートするためのOracle Data Safe環境を作成するよう求められました。

ステップ1: Pheonixリージョンをサブスクライブし、Oracle Data Safeを有効化

SusanはOracle Cloud Infrastructureにサイン・インし、米国西部(Phoenix)リージョンをサブスクライブして、プロジェクトが米国に基づくデータ・センターを使用できるようにします。 テナンシが2つのリージョンにサブスクライブされるようになりました: フランクフルト、フェニックス。 その後、PhoenixリージョンでOracle Data Safeを有効にします。

ノート

Susanは、必要に応じて、テナンシのサブスクライブされる各リージョンでOracle Data Safeを有効化できます。
ただし、現在は、彼女は、両方のプロジェクトをサポートするために必要なのは、1つのリージョン内でOracle Data Safeのみです。

ステップ2: Oracle Cloud Infrastructure Identity and Access Management (IAM)でのグループの作成

IAMでは、Susanによって次のグループが作成されます:

  • Data-Safe-Admins: このグループのメンバーは、テナンシ内でOracle Data Safeの管理を担当します。 Susanによって、Adamというユーザーがこのグループに追加されます。
  • A-Admins: このグループのメンバーは、Oracle Data SafeでProject Aのリソースを管理します。 Susanによって、Jorgeというユーザーがこのグループに追加されます。
  • B-Admins: このグループのメンバーは、Oracle Data Safeでプロジェクトbのリソースを管理します。 Susanによって、Cheriというユーザーがこのグループに追加されます。
  • Auditors: このグループのユーザーは、Oracle Data Safeで監査レポートを表示する必要があります。
  • AuditAdmins: このグループのユーザーは、自分のプロジェクトのデータベースを監査し、Oracle Data Safeの監査レポートを管理する必要があります。
  • MaskAdmins: このグループのユーザーは、プロジェクトのテスト・データベース内の機密データをマスキングする必要があります。

ステップ3: IAMでのポリシーの作成

Susanは、テナンシのルート・コンパートメント・レベルで次のポリシーをIAMに作成します:

  • Data-Safe-Admins: このポリシーは、Data-Safe-AdminsグループのメンバーがOracle Data Safeを有効にし、Oracle Data Safeでの認可ポリシーの構成を含む管理タスクを実行できるようにするために必要です。 このポリシーには、次の文が含まれます:
    Allow group Data-Safe-Admins to inspect groups in tenancy
    Allow group Data-Safe-Admins to manage data-safe in tenancy
    ノート

    SusanはテナンシAdministratorsグループのメンバーであるため、Oracle Data Safeで認可ポリシーを構成することもできます。
  • Delegated-Data-Safe-Admins: このポリシーは、A-AdminsおよびB-AdminsグループがOracle Data Safeの認可ポリシー(最終的にアクセス可能なリソース)を構成できるようにするために必要です。 このポリシーには、次の文が含まれます:
    Allow group A-Admins to inspect groups in tenancy
    Allow group B-Admins to inspect groups in tenancy

ステップ4: Oracle Data Safeでのリソース・グループの作成

Oracle Data Safe管理者であるAdamは、PhoenixリージョンでOracle Data Safeコンソールにサインインし、次の2つのリソース・グループを作成します:

  • Project-A
  • Project-B

ステップ5: 委任管理者の認可ポリシーの構成

Adamでは、A-AdminsおよびB-Adminsグループのメンバーが、プロジェクトのリソースをmanageに配置できるように、次の認可ポリシーを構成します。 Adamでは、すべての機能manageを選択して、A-AdminsおよびB-Adminsグループ「委任された」 Oracle Data Safe管理者にします。

  • Project-Aリソース・グループの場合、Adamでは、すべての機能A-Adminsグループとしてmanageを選択します。
  • Project-Bリソース・グループの場合、Adamでは、すべての機能B-Adminsグループとしてmanageを選択します。

ステップ6: その他のユーザー・グループの委任管理

A-Adminsグループの委任管理者であるJorgeは、PhoenixリージョンでOracle Data Safeコンソールにサインインし、Project-Aリソース・グループに対して次の認可ポリシーを構成します:

  • Jorgeでは、Auditorsグループとしてview for アクティビティ監査を選択します。
  • Jorgeでは、AuditAdminsグループとしてmanage for アクティビティ監査を選択します。

B-Adminsグループの委任管理者であるCheriは、PhoenixリージョンでOracle Data Safeコンソールにサインインし、Project-Bリソース・グループに対して次の認可ポリシーを構成します:

  • Cheriでは、MaskAdminsグループとしてmanage for 検出およびマスキングを選択します。

ステップ7: 委任された機能関連のリソース

MaskAdminsグループのメンバーは、PhoenixリージョンでOracle Data Safeコンソールにサインインします。 ユーザーは、すべてのデータ検出およびデータ・マスキング機能を使用できます。 ただし、ユーザーが認可ポリシーを構成しようとすると、MaskAdminsグループの権限が不足しており、テナンシのグループに対するinspect権限が必要であることを示すエラー・メッセージが表示されます。 その権限がIAMのポリシーを介して付与される場合、ユーザーはProject-Bリソース・グループの検出およびマスキングに対してのみ他のグループ権限を付与できます。次に例を示します:

  • MaskAdminsグループのメンバーは、AuditAdminsグループの検出およびマスキングviewを選択します。