モニタリングの保護
このトピックでは、Oracle Cloud Infrastructure Monitoringサービスのセキュリティ情報および推奨事項について説明します。
セキュリティの責任
Monitoringをセキュアに使用するために、セキュリティおよびコンプライアンスの責任について学習します。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでMonitoringを保護するために実行しているタスクを識別します。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | IAMポリシー |
定期的なセキュリティ・タスク
Monitoringの開始後、このチェックリストを使用して、定期的に実行するセキュリティ・タスクを識別します。
モニタリングには、定期的に実行する必要があるセキュリティ・タスクはありません。
IAMポリシー
モニタリングへのアクセスは、ポリシーを使用して制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。
モニタリング・ポリシーの詳細は、ヘルス・チェックの詳細を参照してください。
グループのアラームアクセス
アラームとアラームステータスの一覧表示
このポリシーを作成して、グループがアラームをリストし、アラーム・ステータスをリストできるようにします。
Allow group <group_name> to inspect alarms in tenancyアラームの詳細と履歴を取得
このポリシーを作成して、グループがアラームの詳細を取得し、アラーム履歴を取得できるようにします。アラーム履歴を取得するには、read metrics行が必要です。
Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancyアラームの管理
このポリシーを作成すると、通知のストリームおよび既存のトピックを使用して、グループがアラームを管理できます。このポリシーでは、新規トピックの作成は許可されません。
グループをストリームの選択に必要な権限に制限するには、
use streamsを{STREAM_READ, STREAM_PRODUCE}に置き換えます。Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancyアラームの管理およびトピックの作成
このポリシーを作成すると、通知のトピック(およびサブスクリプション)の作成(および通知のストリームの使用)など、グループがアラームを管理できます。
グループをストリームの選択に必要な権限に制限するには、
use streamsを{STREAM_READ, STREAM_PRODUCE}に置き換えます。Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancyグループのメトリック・アクセス
メトリック定義のリスト
このポリシーを作成して、グループがコンパートメント内のメトリック定義をリストすることを許可します。
Allow group <group_name> to inspect metrics in compartment <compartment_name>メトリックの問合せ
このポリシーを作成して、グループにコンパートメント内のメトリックの問合せを許可します。
Allow group <group_name> to read metrics in compartment <compartment_name>メトリック・ネームスペースのメトリックの問合せ
このポリシーを作成して、グループがコンパートメント内のメトリックを問合せできるようにし、メトリック・ネームスペースに制限します。
Allow group <group_name> to read metrics in compartment <compartment_name>
where target.metrics.namespace='<metric_namespace>'カスタム・メトリックの公開
このポリシーを作成して、グループがメトリック・ネームスペースにカスタム・メトリックを公開したり、メトリック・データの表示、アラームおよびトピックの作成、アラームのあるストリームの使用を許可します。
グループをストリームの選択に必要な権限に制限するには、
use streamsを{STREAM_READ, STREAM_PRODUCE}に置き換えます。Allow group <group_name> to use metrics in tenancy
where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancyリソースのメトリック・アクセス
コンピュート・インスタンスまたは他のリソースがAPIコールを介してメトリックをモニターする場合は、次を実行します。
APIをコールするコンピュート・インスタンスの詳細は、インスタンスからのサービスのコールを参照してください。
-
一致ルールを使用して、リソースを動的グループに追加します。
-
動的グループがメトリックにアクセスできるようにするポリシーを作成します。
Allow dynamic-group <dynamic_group_name> to read metrics in tenancy
クロステナンシ・メトリック・アクセス
クロステナンシ・メトリック・アクセスを使用して、独自のテナンシを持つ別の組織とメトリックを共有します。たとえば、会社内の別のビジネス・ユニット、会社の顧客または会社にサービスを提供する会社とメトリックを共有します。
リソースにアクセスして共有するには、両方のテナンシの管理者は、アクセスと共有が可能なリソースを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特別なステートメントは、定義、承認および許可という語句を使用します。これらの文の詳細は、クロステナンシ・アクセス・ポリシーを参照してください。
ソース・テナント・ポリシー・ステートメント
ソースおよびターゲット・テナンシ管理者は、宛先テナンシでリソースを管理できるソースIAMグループを承認するポリシー・ステートメントを作成します。
例: テナンシ内の任意のメトリック・リソースに対してなんらかの処理を行う場合は、MetricsAdminsUserGroupを承認します:
Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancyテナンシ・アクセスの範囲を狭くするポリシーを記述するには、ソース管理者が、宛先管理者によって指定された宛先テナンシのOCIDを参照する必要があります。
例: 宛先テナンシ(DestinationTenancy)のメトリック・リソースのみを読み取るようにMetricsAdminsUserGroupを承認します:
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancyグループが宛先テナンシにメトリックを公開できるようにするには、manage動詞を使用します:
例: 宛先テナンシ(DestinationTenancy)のメトリック・リソースのみを管理するには、MetricsAdminsUserGroupを承認します:
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy例: 宛先テナンシ内のメトリック・リソースを読み取る動的グループ(MetricsAdminsDynamicGroup)を承認します:
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy宛先テナンシのポリシー・ステートメント
例: ソース・テナンシ(MetricsAdminsUserGroupInSource)のMetricsAdminsUserGroupを承認して、テナンシ内のメトリック・リソースに対してすべての操作を実行します:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy例: ソース・テナンシ(MetricsAdminsUserGroupInSource)のMetricsAdminsUserGroupを、SharedMetricsコンパートメント内のメトリック・リソースのみを読み取るように承認します:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics例: ソース・テナンシ(MetricsAdminsDynamicGroupInSource)内の動的グループ(MetricsAdminsDynamicGroup)を、SharedMetricsコンパートメント内のメトリック・リソースのみを読み取るように承認します:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics