Oracle Cloud Infrastructureドキュメント

File Storageの保護

File Storageサービスは、各カスタマVCNサブネットのマウント対象としてNFSv3エンドポイントを公開します。 マウント・ターゲットはDNS名で識別され、IPアドレスにマッピングされます。 認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成するには、マウント対象サブネットのVCNセキュリティ・リストを使用することをお薦めします。

コンソールを使用してファイル・システムをマウントすることも、NFSユーティリティを使用してLinuxコマンドラインからマウントすることもできます。 IAMセキュリティ・ポリシーを使用してファイル・システムをマウントすることをユーザーに許可できますが、これはコンソールにのみ適用されます。

データ耐久性のために、ファイル・システムの定期的なスナップショットを取ることをお薦めします。 データの誤った削除を最小限に抑えるには、マウント・ターゲット、ファイルシステム、およびスナップショットを削除する権限を持つユーザーのセットを制限します。

すべてのファイルシステムのデータは、AES-128を使用して安心して暗号化されます。

リモート・ホストからマウントされたNFSファイル・システムへのアクセスは、POSIXのユーザーおよびグループのアクセス権によって決まります。 すべてのユーザーをnfsnobodyにマップするall_squashオプションや、マウントされたファイル・システムへのアクセス制御を実施するNFS ACLなど、よく知られているNFSセキュリティのベスト・プラクティスを使用することをお薦めします。

セキュリティ・ポリシーの例

マウント対象とファイル・システムの削除を防止

次の例では、グループFileUsersがマウント・ターゲットとファイルシステムを削除しないようにします。

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE'