DISA Impact Level 5認可のOracle Cloud Infrastructure US Federal Cloud

このトピックでは、DISA Impact Level 5認可Oracle Cloud Infrastructure US Federal Cloudに固有の情報を示します。

国防クラウドのセキュリティ要件への準拠

DISA Impact Level 5認可US Federal Cloudは、米国国防総省のCloud Computing Security Requirements Guide (SRG)で定義されているように、影響レベル5 (IL5)データを必要とするアプリケーションをサポートしています。

DISA Impact Level 5認可のUS Federal Cloudリージョン

次の表に、DISA Impact Level 5認可US Federal Government Cloudのリージョン名と識別子を示します:

リージョン名 リージョン識別子 リージョン・キー レルム・キー 可用性ドメイン
米国DoD東部(アッシュバーン) us-gov-ashburn-1 ric OC3 1
米国DoD北部(シカゴ) us-gov-chicago-1 pia OC3 1
米国DoD西部(フェニックス) us-gov-phoenix-1 tus OC3 1

テナンシが、DISA Impact Level 5認可US Federal Cloudリージョンのいずれかで作成された後、DISA Impact Level 5認可US Federal Cloudの他のリージョンをサブスクライブできます。これらのテナンシは、OC3レルムに属していないOracle Cloud Infrastructureリージョンをサブスクライブできません。リージョンのサブスクライブの詳細は、リージョンの管理を参照してください。

DISA Impact Level 5認可のUS Federal CloudコンソールのサインインURL

DISA Impact Level 5認可US Federal Cloudにサインインするには、サポートされているブラウザに次のURLのいずれかを入力します:

ノート

US Federal Government Cloudリージョンのいずれかのコンソールにログインした場合、15分間非アクティブ状態が続いた後にブラウザがタイムアウトするため、コンソールを使用するには再度サインインする必要があります。

DISA Impact Level 5認可のUS Federal Cloud APIリファレンスとエンドポイント

この項では、US Federal Cloud DISA Impact Level 5認可を持つAPIおよび対応するリージョナル・エンドポイントを示します。

お知らせAPI

APIリファレンス

  • https://announcements.us-gov-ashburn-1.oraclegovcloud.com
  • https://announcements.us-gov-chicago-1.oraclegovcloud.com
  • https://announcements.us-gov-phoenix-1.oraclegovcloud.com
APIゲートウェイAPI

APIリファレンス

  • https://apigateway.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://apigateway.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://apigateway.us-gov-phoenix-1.oci.oraclegovcloud.com
自動スケーリングAPI

APIリファレンス

  • https://autoscaling.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://autoscaling.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://autoscaling.us-gov-phoenix-1.oci.oraclegovcloud.com
コア・サービス(ネットワーキング、コンピュート、ブロック・ボリュームに対応)

ネットワーキングコンピュート、およびブロック・ボリュームの各サービスには、次のAPIでアクセスできます:

コア・サービスAPI

APIリファレンス

  • https://iaas.us-gov-ashburn-1.oraclegovcloud.com
  • https://iaas.us-gov-chicago-1.oraclegovcloud.com
  • https://iaas.us-gov-phoenix-1.oraclegovcloud.com
Container Engine for Kubernetes API

APIリファレンス

  • https://containerengine.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://containerengine.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://containerengine.us-gov-phoenix-1.oci.oraclegovcloud.com
データ・フローAPI

APIリファレンス

  • https://dataflow.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://dataflow.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://dataflow.us-gov-phoenix-1.oci.oraclegovcloud.com
データ・サイエンスAPI

APIリファレンス

  • https://datascience.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://datascience.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://datascience.us-gov-phoenix-1.oci.oraclegovcloud.com
データベースAPI

APIリファレンス

  • https://database.us-gov-ashburn-1.oraclegovcloud.com
  • https://database.us-gov-chicago-1.oraclegovcloud.com
  • https://database.us-gov-phoenix-1.oraclegovcloud.com

作業リクエストAPIで長時間実行されているデータベース操作の進行状況をトラッキングできます。

デジタル・アシスタントAPI

APIリファレンス

  • https://digitalassistant.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://digitalassistant.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://digitalassistant.us-gov-phoenix-1.oci.oraclegovcloud.com
電子メール配信API

APIリファレンス

  • https://ctrl.email.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://ctrl.email.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://ctrl.email.us-gov-phoenix-1.oci.oraclegovcloud.com
イベントAPI

APIリファレンス

  • https://events.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://events.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://events.us-gov-phoenix-1.oci.oraclegovcloud.com
ファイル・ストレージAPI

APIリファレンス

  • https://filestorage.us-gov-ashburn-1.oraclegovcloud.com
  • https://filestorage.us-gov-chicago-1.oraclegovcloud.com
  • https://filestorage.us-gov-phoenix-1.oraclegovcloud.com
ファンクションAPI

APIリファレンス

  • https://functions.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://functions.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://functions.us-gov-phoenix-1.oci.oraclegovcloud.com
IAM API

APIリファレンス

  • https://identity.us-gov-ashburn-1.oraclegovcloud.com
  • https://identity.us-gov-chicago-1.oraclegovcloud.com
  • https://identity.us-gov-phoenix-1.oraclegovcloud.com
ノート

すべてのIAM APIコールにホーム・リージョンのエンドポイントを使用する

Oracle Cloud Infrastructureにサインアップすると、Oracleによって、1つのリージョンのテナンシが作成されます。これがホーム・リージョンです。ホーム・リージョンは、IAMリソースが定義される場所です。新しいリージョンをサブスクライブすると、IAMリソースが新しいリージョンにレプリケートされますが、マスター定義はホーム・リージョンに存在し、そこでのみ変更できます。ホーム・リージョン・エンドポイントに対するすべてのIAM APIコールを実行します。変更はすべてのリージョンに自動的にレプリケートされます。ホーム・リージョン以外のリージョンに対してIAM APIコールを実行しようとすると、エラーが発生します。テナンシのホーム・リージョンはどのように検索しますか。を参照してください。

キー管理API (ボールト・サービスの場合)

APIリファレンス

  • https://kms.us-gov-ashburn-1.oraclegovcloud.com
  • https://kms.us-gov-chicago-1.oraclegovcloud.com
  • https://kms.us-gov-phoenix-1.oraclegovcloud.com

これらのエンドポイントに加え、各ボールトには、キーの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンURLまたは管理エンドポイントと呼ばれます。各ボールトには、暗号化操作のための一意のエンドポイントもあります。このエンドポイントは、データ・プレーンURLまたは暗号エンドポイントと呼ばれます。

マーケットプレイス・サービスAPI

APIリファレンス

  • https://marketplace.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://marketplace.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://marketplace.us-gov-phoenix-1.oci.oraclegovcloud.com
モニタリングAPI

APIリファレンス

  • https://telemetry-ingestion.us-gov-ashburn-1.oraclegovcloud.com
  • https://telemetry-ingestion.us-gov-chicago-1.oraclegovcloud.com
  • https://telemetry-ingestion.us-gov-phoenix-1.oraclegovcloud.com
  • https://telemetry.us-gov-ashburn-1.oraclegovcloud.com
  • https://telemetry.us-gov-chicago-1.oraclegovcloud.com
  • https://telemetry.us-gov-phoenix-1.oraclegovcloud.com
通知API

APIリファレンス

  • https://notification.us-gov-ashburn-1.oraclegovcloud.com
  • https://notification.us-gov-chicago-1.oraclegovcloud.com
  • https://notification.us-gov-phoenix-1.oraclegovcloud.com

通知サービスを介してメッセージを正常に送信するには、ソース・サービスがUS Government Cloudリージョンで使用可能である必要があります。これらのリージョンでソース・サービスが使用可能でない場合、メッセージは送信されません。使用不可サービスのリストは、DISA Impact Level 5認可のUS Federal Cloudでサポートされていないサービスを参照してください。

オブジェクト・ストレージおよびアーカイブ・ストレージAPI

オブジェクト・ストレージおよびアーカイブ・ストレージの両方とも、次のAPIでアクセスできます:

オブジェクト・ストレージAPI

APIリファレンス

  • https://objectstorage.us-gov-ashburn-1.oraclegovcloud.com
  • https://objectstorage.us-gov-chicago-1.oraclegovcloud.com
  • https://objectstorage.us-gov-phoenix-1.oraclegovcloud.com
Amazon S3互換API

APIリファレンス

  • https://<object_storage_namespace>.compat.objectstorage.us-gov-ashburn-1.oraclegovcloud.com
  • https://<object_storage_namespace>.compat.objectstorage.us-gov-chicago-1.oraclegovcloud.com
  • https://<object_storage_namespace>.compat.objectstorage.us-gov-phoenix-1.oraclegovcloud.com
ヒント

オブジェクト・ストレージのネームスペースを確認する方法の詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。
Swift API (Oracle RMANで使用)
  • https://swiftobjectstorage.us-gov-ashburn-1.oraclegovcloud.com
  • https://swiftobjectstorage.us-gov-chicago-1.oraclegovcloud.com
  • https://swiftobjectstorage.us-gov-phoenix-1.oraclegovcloud.com
Oracle Cloud VMwareソリューションAPI

APIリファレンス

  • https://ocvps.us-ashburn-1.oci.oraclegovcloud.com
  • https://ocvps.us-chicago-1.oci.oraclegovcloud.com
  • https://ocvps.us-phoenix-1.oci.oraclegovcloud.com
レジストリ

レジストリ

  • 米国DoD東部(アッシュバーン)
    • ocir.us-gov-ashburn-1.oci.oraclegovcloud.com
  • 米国DoD北部(シカゴ)
    • ocir.us-gov-chicago-1.oci.oraclegovcloud.com
  • 米国DoD北部(シカゴ)
    • ocir.us-gov-phoenix-1.oci.oraclegovcloud.com
リソース・マネージャAPI

APIリファレンス

  • https://resourcemanager.us-ashburn-1.oci.oraclegovcloud.com
  • https://resourcemanager.us-chicago-1.oci.oraclegovcloud.com
  • https://resourcemanager.us-phoenix-1.oci.oraclegovcloud.com
ストリーミングAPI

APIリファレンス

  • https://streaming.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://streaming.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://streaming.us-gov-phoenix-1.oci.oraclegovcloud.com
ボールト・サービス・キー管理API

APIリファレンス

  • https://kms.us-gov-ashburn-1.oraclegovcloud.com
  • https://kms.us-gov-chicago-1.oraclegovcloud.com
  • https://kms.us-gov-phoenix-1.oraclegovcloud.com
ボールト・サービス・シークレット管理API

APIリファレンス

  • https://vaults.us-gov-ashburn-1.oraclegovcloud.com
  • https://vaults.us-gov-chicago-1.oraclegovcloud.com
  • https://vaults.us-gov-phoenix-1.oraclegovcloud.com
ボールト・サービス・シークレット取得API

APIリファレンス

  • https://secrets.us-gov-ashburn-1.oraclegovcloud.com
  • https://secrets.us-gov-chicago-1.oraclegovcloud.com
  • https://secrets.us-gov-phoenix-1.oraclegovcloud.com
作業リクエストAPI (コンピュートおよびデータベース作業リクエスト用)

APIリファレンス

  • https://iaas.us-gov-ashburn-1.oraclegovcloud.com
  • https://iaas.us-gov-chicago-1.oraclegovcloud.com
  • https://iaas.us-gov-phoenix-1.oraclegovcloud.com

Oracle YUMリポジトリ・エンドポイント

DISA Impact Level 5認可US Federal Cloud用のOracle YUMリポジトリ・リージョナル・エンドポイントを次の表に示します

リージョン YUMサーバー・エンドポイント
米国DoD東部(アッシュバーン)
  • https://yum.us-gov-ashburn-1.oci.oraclegovcloud.com
  • https://yum-us-gov-ashburn-1.oracle.com
米国DoD北部(シカゴ)
  • https://yum.us-gov-chicago-1.oci.oraclegovcloud.com
  • https://yum-us-gov-chicago-1.oracle.com
米国DoD西部(フェニックス)
  • https://yum.us-gov-phoenix-1.oci.oraclegovcloud.com
  • https://yum-us-gov-phoenix-1.oracle.com

SMTP認証および接続エンドポイント

電子メール配信では、SMTP認証の使用時にAUTH PLAINコマンドのみがサポートされています。送信アプリケーションがAUTHコマンドに対して柔軟性がない場合には、SMTPプロキシ/リレーを使用できます。AUTHコマンドの詳細は、AUTHコマンドとそのメカニズムを参照してください。

リージョン SMTP接続エンドポイント
米国DoD東部(アッシュバーン) smtp.email.us-gov-ashburn-1.oci.oraclegovcloud.com
米国DoD北部(シカゴ) smtp.email.us-gov-chicago-1.oci.oraclegovcloud.com
米国DoD西部(フェニックス) smtp.email.us-gov-phoenix-1.oci.oraclegovcloud.com

SPFレコード構文

SPFレコードは、電子メール配信IPアドレスの代理送信を認可する、送信ドメイン上のTXTレコードです。SPFは、oraclegovcloud.comのサブドメインに必要であり、その他の場合に推奨されます。次の表に、各送信リージョンのSPFレコード構文を示します。

レルム・キー SPFレコード
OC3 v=spf1 include:rp.email.oci.oraclegovcloud.com ~all
レルム・キーは、そのレルム内のすべての送信リージョンに適用できます。

DISA Impact Level 5認可のUS Federal Cloudでサポートされていないサービス

現在、DISA Impact Level 5認可US Federal Cloudのテナンシでは、次のサービスは使用できないか、サポートされていません。

ノート

このリストは網羅的ではありません。その他のサービスおよび機能も使用できないか、サポートされていない可能性があります。

ネットワーキング・サービスおよび機能は使用できません:

  • プロバイダを使用するFastConnect (コロケーション・モデルFastConnectはサポートされます)
  • DNSゾーン管理
  • トラフィック管理ステアリング・ポリシー

Oracle Databaseサービスは使用できません:

  • Autonomous Data Warehouse
  • Autonomous Transaction Processing
  • データ・セーフ

ストレージ・サービスおよび機能は使用できません。

  • ベア・メタル・インスタンスの転送中暗号化

AnalyticsおよびAIサービスは使用できません:

  • アナリティクス・クラウド
  • Fusion分析ウェアハウス
  • アプリケーションの移行

Developer Servicesの機能はサポートされていません:

  • コンテンツ管理
  • 電子メール配信
  • 統合

アイデンティティーおよびセキュリティーサービスを使用できません:

  • Bastion
  • コンプライアンス・ドキュメント

可観測性および管理サービスは使用できません:

  • ヘルス・チェック

移行サービスおよび機能は使用できません:

  • データ転送サービス

ガバナンスおよび管理機能はサポートされていません:

  • Oracle Identity Cloud Serviceによる自動フェデレーション
  • WAFサービス

Oracle SaaSおよびPaaSサービスとの統合。次にリストされているものを含む: Oracle Platform Servicesの開始

プロモーションのトライアルやAlways FreeオファーなどのOracle Cloud Infrastructure Free Tierは、US Government Cloudリージョンでは使用できません。

複数のDISA Impact Level 5認可のUS Federal Cloudリージョンへのアクセス

この項では、NIPRNetの一部であるオンプレミス・リソースに、単一のFastConnect接続を介した複数のUS Federal Cloudリージョンへのアクセス権を付与する方法を示します。これは、リージョンの1つにNIPRNetのボーダー・クラウド・アクセス・ポイント(BCAP)への直接接続がない場合に重要です。BCAPは、meet meポイントとも呼ばれます。

概要

一部のUS Federal Cloudリージョンは、NIPRNet BCAPに直接接続していますが、その他のリージョンは接続していません。ネットワーキング・サービスを使用すると、NIPRNetの一部であるオンプレミス・リソースに、NIPRNetのBCAPに直接接続していないUS Federal Cloudリージョンへのアクセス権を付与できます。これを行うことで、オンプレミス・ワークロードを関心のある特定のUS Federal Cloudリージョンへと拡張したり、ディザスタ・リカバリ(DR)のためにそのリージョンを使用することができます。

このシナリオを次の図に示します。

このイメージは、FastConnectとリモート・ピアリングによって2つの異なるOracleリージョンに接続されたNIPRNetのレイアウトを示しています。

図では、US Federal Government Cloudリージョン1にはNIPRNetのBCAPへの直接接続がありますが、US Federal Government Cloudリージョン2にはありません。NIPRNetのオンプレミス・リソース(サブネット172.16.1.0/24内)が、リージョン2の仮想クラウド・ネットワーク(VCN) (CIDR 10.0.3.0/24)にアクセスする必要があると想像してください。

オプションで、リージョン1にはクラウド・リソースのあるVCN (CIDR 10.0.1.0/24)も存在できますが、リージョン1のVCNはこのシナリオに必須ではありません。このシナリオの目的は、オンプレミス・リソースがリージョン2のリソースにアクセスすることです。

通常、2つのタイプの接続を設定します:

接続に関する詳細は次のとおりです:

  • FastConnectには、物理的な接続(クロスコネクト)が少なくとも1つあります。FastConnectで動作するプライベート仮想回線を設定します。プライベート仮想回線では、オンプレミス・リソースとクラウド・リソース間でプライベートIPアドレスを使用する通信が可能になります。
  • リモート・ピアリング接続は、リージョン1の動的ルーティング・ゲートウェイ(DRG)とリージョン2のDRGの間の接続です。DRGはVCNに通常アタッチする仮想ルーターで、VCNがOracleリージョン外のリソースにアクセスできるようにします。
  • BCAPエッジ・ルーターを適宜構成することによって、VCNに通知されるオンプレミス・サブネットを制御できます。
  • VCN-1およびVCN-2の両方のサブネットは、FastConnect接続でBCAPエッジ・ルーターに通知されます。
  • オプションで、VCNセキュリティ・ルールや管理する他のファイアウォールを構成し、オンプレミス・リソースとVCNの間に特定のタイプのトラフィック(SSHやSQL*NETなど)のみを許可できます。

基本的な要件をいくつか示します:

  • リージョン1とリージョン2のVCNおよびDRGは、同じテナンシに属している必要がありますが、テナンシ内の異なるコンパートメントにあってもかまいません。
  • 正確なルーティングのために、対象となるオンプレミス・サブネットのCIDRブロックとVCNは重複できません。
  • VCNから対象となるオンプレミス・サブネットへのトラフィックの流れを有効にするには、オンプレミス・サブネットごとにルート・ルールをVCNサブネット・ルート表に追加する必要があります。上の図は、各VCNのルート表の172.16.1.0/24のルート・ルールを示しています。

一般的な設定プロセス

タスク1: リージョン1へのFastConnectの設定

サマリー: このタスクでは、NIPRNet BCAPとリージョン1間にFastConnectを設定します。FastConnectには3つの接続モデルがあり、一般にはOracleとのコロケート・モデルに従います。この場合、コロケーションはBCAP(meet meポイント)で発生します。接続は、物理接続(少なくとも1つのクロスコネクト)と論理接続(プライベート仮想回線)の両方で構成されています。

手順については、FastConnectの開始にリストされているフロー・チャートとタスクに従い、次の具体的なバリエーションに注意してください:

  • タスク2で、手順はVCN(リージョン1内)があるものと想定していますが、これはオプションです。
  • タスク8で、プライベート仮想回線(パブリックではない)を作成します。
タスク2: リージョン2でのVCNとDRGの設定

サマリー: リージョン2のVCN (前の図のVCN-2)がまだない場合は、このタスクで設定します。また、リージョン2にDRGを作成して、VCNにアタッチします。次に、オンプレミス・ネットワークと通信する必要があるそれぞれのVCN-2サブネットについて、対象となるオンプレミス・サブネットのルート・ルールが含まれるようにそのサブネットのルート表を更新します。ルーティング先のオンプレミス・サブネットが複数ある場合は、それぞれに対してルート・ルールを設定します。

方法は、次の手順を参照してください:

  1. VCNを作成するには
  2. DRGの作成
  3. DRGへのVCNのアタッチ
  4. サブネットのトラフィックをDRGにルーティングするには
    重要

    前述のリストのステップ4で、次のように設定したルート・ルールを追加します:

    • 宛先CIDR = 対象となるオンプレミス・サブネット
    • ターゲット = VCNのDRG

    上の図では、これは宛先CIDRが172.16.1.0/24で、DRG-2がターゲットであるルールです。図の2番目のルール(10.0.1.0/24およびDRG-2用)は、VCN-2のリソースがVCN-1のリソースと通信する必要がある場合にのみ必要です。

タスク3: リージョン1とリージョン2間のリモート・ピアリングの設定

サマリー: このタスクでは、リモート・ピアリングを設定して、DRG-1とDRG-2の間のプライベート・トラフィックを有効にします。リモート・ピアリングという用語は一般に、あるVCNのリソースが別のリージョン内のVCNのリソースとプライベートに通信できることを意味します。この場合、リモート・ピアリングは、オンプレミス・ネットワークとVCN-2の間のプライベート通信も可能にします。

手順については、リモート・ピアリングの設定を参照してください。重要な詳細は次のとおりです:

  • オプションのリージョン1 VCN: 手順では各リージョンにVCNがあると想定されていますが、この場合、リージョン1ではオプションです。
  • 単一のVCN管理者: 手順では、2人の異なるVCN管理者がいて、1人はリージョン1のVCN管理者、もう1人はリージョン2のVCN管理者であることを想定しています。この場合、両方のリージョンを処理し、リモート・ピアリング接続を構成するVCN管理者が1人(あなた)だけである可能性があります。
  • 不要なIAMポリシー: 手順には、各VCN管理者が特定のIAMポリシーを設定してリモート・ピアリング接続を有効にするためのタスクが含まれます。1つのポリシーはリクエスタとして指定されているVCN管理者を対象とし、もう1つはアクセプタとして指定されているVCN管理者を対象としています。これらの用語は、リモート・ピアリングの重要な概念でさらに定義されています。ただし、テナンシ全体に包括的なネットワーキング権限を持つ1人のVCN管理者しかいない場合、これらのIAMポリシーは必要ありません。詳細は、タスクの最後に表示されるヒントを参照してください。
  • RPCアンカー・ポイントおよび接続: リモート・ピアリングは、実際には設定する必要のある複数のコンポーネントで構成されます。各DRGには、アンカー・ポイント(上の図ではRPC-1およびRPC-2として示されています)と、この2つのRPCアンカー・ポイント間の接続があります。この手順には、これらのRPCとその間の接続の作成ステップが含まれます。すべてのコンポーネントを作成してください。

DISA Impact Level 5認可のUS Federal Cloud顧客の追加情報