ファイル・ストレージの保護
ファイル・ストレージ・サービスは、各顧客のVCNサブネットにNFSv3エンドポイントをマウント・ターゲットとして公開します。マウント・ターゲットはDNS名で識別され、IPアドレスにマップされます。(ターゲット・サブネットの)VCNセキュリティ・リストを使用して、認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成することをお薦めします。詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。
コンソールで、またはNFSユーティリティを使用してLinuxコマンドラインから、ファイル・システムをマウントできます。IAMセキュリティ・ポリシーを使用して、ファイル・システムのマウントをユーザーに許可できますが、これはコンソールにのみ適用されます。
データ耐久性のために、ファイル・システムの定期的なスナップショットを作成することをお薦めします。データの誤った削除を最小限に抑えるために、マウント・ターゲット、ファイルシステムおよびスナップショットを削除する権限を持つユーザーのセットを制限します。
ファイルシステムのすべてのデータは保存中に暗号化されます。
リモート・ホストからマウントされたNFSファイル・システムへのアクセスは、POSIXのユーザーとグループのアクセス権によって決まります。すべてのユーザーをnfsnobody
にマップするall_squash
オプションや、マウントされたファイル・システムにアクセス制御を適用するNFS ACLなど、よく知られたNFSセキュリティのベスト・プラクティスを使用することをお薦めします。
セキュリティ・ポリシーの例
マウント・ターゲットとファイル・システムの削除の防止
次の例では、グループFileUsersがマウント・ターゲットとファイルシステムの削除を禁止されます。
Allow group FileUsers to manage file-systems in tenancy
where request.permission!='FILE_SYSTEM_DELETE'
Allow group FileUsers to manage mount-targets in tenancy
where request.permission!='MOUNT_TARGET_DELETE'
Allow group FileUsers to manage export-sets in tenancy
where request.permission!='EXPORT_SET_DELETE'