ファイル・ストレージの保護

ファイル・ストレージ・サービスは、各顧客のVCNサブネットにNFSv3エンドポイントをマウント・ターゲットとして公開します。マウント・ターゲットはDNS名で識別され、IPアドレスにマップされます。(ターゲット・サブネットの)VCNセキュリティ・リストを使用して、認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成することをお薦めします。

コンソールで、またはNFSユーティリティを使用してLinuxコマンドラインから、ファイル・システムをマウントできます。IAMセキュリティ・ポリシーを使用して、ファイル・システムをマウントするユーザーを許可できますが、これはコンソールにしか適用されません。

データ耐久性のために、ファイル・システムの定期的なスナップショットを作成することをお薦めします。データの誤った削除を最小限に抑えるために、マウント・ターゲット、ファイルシステムおよびスナップショットを削除する権限を持つユーザーのセットを制限します。

ファイルシステムのすべてのデータは保存中に暗号化されます。

リモート・ホストからマウントされたNFSファイル・システムへのアクセスは、POSIXのユーザーとグループのアクセス権によって決まります。すべてのユーザーをnfsnobodyにマップするall_squashオプションや、マウントされたファイル・システムにアクセス制御を適用するNFS ACLなど、よく知られたNFSセキュリティのベスト・プラクティスを使用することをお薦めします。

セキュリティ・ポリシーの例

マウント・ターゲットとファイル・システムの削除の防止

次の例では、グループFileUsersがマウント・ターゲットとファイルシステムの削除を禁止されます。

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE'