Oracle Cloud Infrastructureドキュメント

ファイル・ストレージの保護

ファイル・ストレージ・サービスは、各カスタマVCNサブネットのマウント・ターゲットとしてNFSv3エンドポイントを公開します。 マウント・ターゲットはDNS名で識別され、IPアドレスにマッピングされます。 認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成するには、マウント・ターゲットサブネットのVCNセキュリティ・リストを使用することをお薦めします。

コンソールを使用してファイル・システムをマウントすることも、NFSユーティリティを使用してLinuxコマンドラインからマウントすることもできます。 IAMセキュリティ・ポリシーを使用してファイル・システムをマウントすることをユーザーに許可できますが、これはコンソールにのみ適用されます。

データ耐久性のために、ファイル・システムの定期的なスナップショットを取ることをお薦めします。 データの誤った削除を最小限に抑えるには、マウント・ターゲット、ファイルシステム、およびスナップショットを削除する権限を持つユーザーのセットを制限します。

すべてのファイルシステムのデータは、AES-128を使用して安心して暗号化されます。

リモート・ホストからマウントされたNFSファイル・システムへのアクセスは、POSIXのユーザーおよびグループのアクセス権によって決まります。 すべてのユーザーをnfsnobodyにマップするall_squashオプションや、マウントされたファイル・システムへのアクセス制御を実施するNFS ACLなど、よく知られているNFSセキュリティのベスト・プラクティスを使用することをお薦めします。

セキュリティ・ポリシーの例

マウント・ターゲットとファイル・システムの削除を防止

次の例では、グループFileUsersがマウント・ターゲットとファイルシステムを削除しないようにします。

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE'