Oracle Cloud Infrastructureドキュメント

セキュリティについて

File Storageサービスでは、4つの異なるレイヤーのセキュリティを使用しています。 各レイヤーには、他のレイヤーとは別個の独自の認証エンティティとメソッドがあります。

ヒント

File Storageのセキュリティについて「ビデオ」を見てください。

Oracle Cloud Infrastructure (OCI)ポリシー」レイヤーは「ポリシーを使用」して、Oracle Cloud Infrastructure内で実行できる操作を制御します。たとえば、インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成などがあります。

「ネットワーク・セキュリティ」レイヤーは、ホスト・ファイルシステムに接続できるインスタンスのIPアドレスまたはCIDRブロックを制御します。 VCN 「セキュリティ・リストのルール」を使用して、マウント・ターゲットへのトラフィックを許可または拒否し、関連するファイル・システムにアクセスします。

「NFSエクスポート・オプション」層は、ネットワーク・セキュリティ層とNFS v.3 Unixセキュリティ層をブリッジ渡しするソースIPアドレスに基づいてファイル単位のアクセス制御を適用するメソッドです。

「NFS v.3 Unixセキュリティ」レイヤーは、アプリケーションのインストール、ディレクトリの作成、ローカル・マウント・ポイントによる外部ファイルシステムのマウント、ファイルの読取りと書込みなど、インスタンスに対してユーザーが実行できる操作を制御します。

このセキュリティ層... これらを使用... 次のようなアクションを制御する...
Oracle Cloud Infrastructure (Oracle Cloud Infrastructure) OCIユーザーとポリシー インスタンスとVCNの作成。 ファイル・システムの作成、一覧表示、および関連付け、およびターゲットのマウント。
ネットワーク・セキュリティ IPアドレス、CIDRブロック、セキュリティ・リスト クライアント・インスタンスをマウント・ターゲットに接続します。
NFSエクスポート・オプション ファイル・システムのエクスポート、IPアドレス、Unixユーザー 特権付きソース・ポート接続、ファイルの読み取りと書き込み、およびファイル単位のシステム単位でのrootユーザー・アクセスの制限。
NFS v.3 Unixセキュリティ Unixユーザー、ファイル・モード・ビット ファイル・システムのマウント、ファイルの読み取りと書き込み。

Oracle Cloud Infrastructureでユーザーとグループを作成します。 次に、ポリシーを使用して、ファイル・システム、ターゲットのマウント、およびオプションのエクスポートなど、リソースを作成、アクセス、または変更できるユーザーとグループを指定できます。

ネットワーク・セキュリティ・レイヤーを使用すると、VCNセキュリティ・リストを使用して特定のIPアドレスとCIDRブロックから適切なポートをブロックし、ホスト・アクセスを制限できます。 ただし、これは'all or nothing'ベースです - クライアントはマウント・ターゲットにアクセスできます。したがって、それに関連付けられているすべてのファイル・システムにアクセスできます。 ファイル・システムごとに細かいコントロールを指定するには、「NFSエクスポート・オプションの使用」を参照してください。

File Storageサービスは、AUTH_UNIX形式の認証と、リモートNFSクライアント・リクエストに対するアクセス権の検査をサポートしています。 ファイル・システムをマウントするときは、-nosuidオプションを使用することをお勧めします。 このオプションは、set-user-identifierビットまたはset-group-identifierビットをディセーブルにします。 リモート・ユーザーは、setuid プログラムを使用してより高い特権を得ることができません。 詳細は、「ファイル・システムのマウント」を参照してください。

UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なることに注意してください - それらはリンクされておらず、関連付けられていません。 Oracle Cloud Infrastructureポリシー・レイヤーは、ファイルシステム内で発生するものを制御しません。UNIXセキュリティ・レイヤーが制御します。 反対に、UNIXセキュリティ・レイヤーは、Oracle Cloud Infrastructureのファイル・システムの作成やターゲットのマウントを管理しません。

NFSエクスポート・オプションは、ネットワーク・セキュリティ層とNFS v.3 Unixセキュリティ層でアクセス制御を適用するメソッドです。 NFSエクスポート・オプションを使用して、関連付けられたマウント・ターゲットのエクスポートを介して複数のファイル・システムに接続するIPアドレスまたはCIDRブロックによるアクセス・レベルを制限することができます。 アクセスを制限して、各クライアントのファイル・システムがアクセス不能になり、他方が不可視になり、管理されたホスト環境のセキュリティが可能になります。 さらに、ファイルシステムの読み取り専用、読み取り/書き込み、またはroot-squashのアクセス権を設定できます。 詳細については、「NFSエクスポート・オプションの使用」を参照してください。