IAMのテナンシおよびコンパートメント

コンパートメントを使用してセキュリティを強化する方法と、テナンシの管理に関する推奨事項を学習します。

• コンパートメントはIAMで一意であり、エンタープライズ顧客が1つのアカウントすなわちテナンシを持つことによって主要なニーズを満たすためのメカニズムを提供します。この単一アカウントすなわちテナンシのおかげで、完全な集中管理と可視性が提供される一方で、構成チーム、プロジェクトおよびイニシアチブの必要性を満たすようにアカウントすなわちテナンシを分割することもできます。
• セキュリティおよびガバナンスの理由から、ユーザーが必要とするリソースのみにアクセスできるようにしてください。たとえば、あるプロジェクトに取り組んでいるエンタープライズ・ユーザー、またはある業務部門に属するエンタープライズ・ユーザーは、そのプロジェクトまたは業務部門に属するリソースにのみアクセスできるようにする必要があります。コンパートメントは、アクセス権限に基づいてテナンシ・リソースをグループ化し、ユーザーのグループが必要に応じてコンパートメントにアクセスすることを認可する効果的なメカニズムを提供します。上の例では、業務部門に属するすべてのリソースを含めるコンパートメントを作成し、その業務部門のメンバーのみがそのコンパートメントにアクセスすることを認可します。同様に、コンパートメントへのグループのアクセス権は、不要になった場合に取り消すことができます。
• コンパートメントを作成してリソースを割り当てるときには、次の点に注意してください:
  • すべてのリソースがコンパートメントに属している必要があります。
  • リソースは、作成後に別のコンパートメントに再割当てできます。コンパートメントの管理を参照してください
  • コンパートメントは作成後に削除できます。コンパートメントの管理を参照してください
• リソース・タグは、複数のコンパートメントに分散されたリソースを論理的に集約する方法を提供します。たとえば、用途に応じてテナンシ・リソースにtestまたはproductionのタグを付けることができます。リソース・タグ(自由形式および定義済タグ)の詳細は、リソース・タグを参照してください。
• すべてのテナンシには、デフォルトの管理者グループがあります。このグループは、テナンシのすべてのリソースに対してどのようなアクションでも実行できます(つまり、テナンシに対するルート・アクセス権を持ちます)。テナンシの管理者グループはできるだけ少人数にすることをお薦めします。テナンシ管理者を管理するためのセキュリティ推奨事項の一部:
  • テナンシ管理者グループのメンバーシップを付与するセキュリティ・ポリシーが、必要性の基準に厳密に従うようにします。
  • テナンシ管理者は、MFAとともに複雑度の高いパスワードを使用し、パスワードを定期的にローテーションする必要があります。
  • アカウントの設定と構成を行った後では、日常的な操作にテナンシ管理者アカウントを使用しないことをお薦めします。かわりに、権限を制限したユーザーとグループを作成してください。
  • 管理者アカウントは、日常業務では使用されませんが、顧客のテナンシおよび業務に影響を与える緊急シナリオに対処するために必要です。そのような緊急事態で管理者アカウントを使用するために、セキュアで監査可能な「非常時」用の手順を指定します。
  • 従業員が組織を離れるときにはテナンシ管理アクセス権を即座に無効化します。
  • テナンシ管理者グループのメンバーシップは制限されているため、管理者アカウントのロックアウトを防ぐセキュリティ・ポリシーを作成することをお薦めします(たとえば、テナンシ管理者が退職し、現在の従業員に管理者権限がない場合)。