モニタリングの保護
このトピックでは、Oracle Cloud Infrastructure Monitoringサービスのセキュリティ情報および推奨事項について説明します。
セキュリティの責任
Monitoringをセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。
Oracleは次のセキュリティ要件を担当します。
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
セキュリティの責任については、このページで説明します。このページには、次の領域が含まれています。
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでモニタリングを保護するために実行するタスクを識別します。
タスク | 詳細情報 |
---|---|
IAMポリシーを使用したユーザーとリソースへのアクセスの付与 | IAMポリシー |
定期的なセキュリティ・タスク
Monitoringの開始後、このチェックリストを使用して、定期的に実行するセキュリティ・タスクを識別します。
モニタリングには、定期的に実行する必要があるセキュリティ・タスクはありません。
IAMポリシー
モニタリングへのアクセスは、ポリシーを使用して制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その責任を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループが許可されるアクションを説明する動詞があります。最もアクセスの少ない量から、使用可能な動詞はinspect
、read
、use
およびmanage
です。
モニタリング・ポリシーの詳細は、ヘルス・チェックの詳細を参照してください。
グループのアラーム アクセス
アラームとアラームのステータスの一覧表示
グループがアラームをリストおよびアラーム・ステータスをリストできるようにするには、このポリシーを作成します。
Allow group <group_name> to inspect alarms in tenancy
アラームの詳細と履歴の取得
警告の管理
このポリシーを作成すると、グループは、ストリームおよび既存のトピックを使用して通知を管理できます。このポリシーでは、新規トピックの作成は許可されていません。
グループをストリームの選択に必要な権限に制限するには、
use streams
を{STREAM_READ, STREAM_PRODUCE}
に置き換えます。Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
アラームの管理およびトピックの作成
このポリシーを作成すると、アラームの管理が可能になります。これには、通知のトピック(およびサブスクリプション)の作成(および通知のストリームの使用)が含まれます。
グループをストリームの選択に必要な権限に制限するには、
use streams
を{STREAM_READ, STREAM_PRODUCE}
に置き換えます。Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
グループのメトリック・アクセス
メトリック定義のリスト
このポリシーを作成すると、グループはコンパートメント内のメトリック定義をリストできます。
Allow group <group_name> to inspect metrics in compartment <compartment_name>
問合せメトリック
グループがコンパートメント内のメトリックの問合せを許可するには、このポリシーを作成します。
Allow group <group_name> to read metrics in compartment <compartment_name>
メトリック・ネームスペースの問合せメトリック
このポリシーを作成して、グループがメトリック・ネームスペースに制限されたコンパートメント内のメトリックの問合せを許可します。
Allow group <group_name> to read metrics in compartment <compartment_name>
where target.metrics.namespace='<metric_namespace>'
カスタム・メトリックの公開
このポリシーを作成すると、グループはメトリック・ネームスペースへのカスタム・メトリックを公開したり、メトリック・データの表示、アラームおよびトピックの作成、およびアラームでのストリームの使用が可能になります。
グループをストリームの選択に必要な権限に制限するには、
use streams
を{STREAM_READ, STREAM_PRODUCE}
に置き換えます。Allow group <group_name> to use metrics in tenancy
where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
リソースのメトリック・アクセス
コンピュート・インスタンスまたは他のリソースがAPIコールを介してメトリックを監視する場合は、次を実行します。
APIを呼び出すコンピュート・インスタンスの詳細は、インスタンスからのサービスの呼出しを参照してください。
-
一致ルールを使用して、リソースを動的グループに追加します。
-
動的グループがメトリックにアクセスできるようにするポリシーを作成します。
Allow dynamic-group <dynamic_group_name> to read metrics in tenancy
クロステナンシ・メトリック・アクセス
クロステナンシ・メトリック・アクセスを使用して、独自のテナンシを持つ別の組織とメトリックを共有します。たとえば、会社内の別のビジネス・ユニット、会社の顧客または会社にサービスを提供する会社とメトリックを共有します。
リソースにアクセスして共有するには、両方のテナンシの管理者は、アクセスと共有が可能なリソースを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特別なステートメントは、Define、EndorseおよびAdmitという語句を使用します。これらの文の詳細は、「クロステナンシ・アクセス・ポリシー」を参照してください。
ソース・テナンシのポリシー・ステートメント
ソースおよびターゲット・テナンシ管理者は、宛先テナンシでリソースを管理できるソースIAMグループを承認するポリシー・ステートメントを作成します。
例: MetricsAdminsUserGroup
をエンドースして、任意のテナンシのメトリック・リソースに対してすべての操作を実行します:
Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy
テナンシ・アクセスの範囲を狭くするポリシーを記述するには、ソース管理者が、宛先管理者によって指定された宛先テナンシのOCIDを参照する必要があります。
例: MetricsAdminsUserGroup
をエンドースして、宛先テナンシ(DestinationTenancy
)のメトリック・リソースのみを読み取ります。
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy
グループが宛先テナンシにメトリックを公開できるようにするには、manage
動詞を使用します:
例: MetricsAdminsUserGroup
をエンドースして、宛先テナンシ(DestinationTenancy
)のみのメトリック・リソースを管理します:
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy
例: 動的グループ(MetricsAdminsDynamicGroup
)をエンドースして、宛先テナンシのメトリック・リソースを読み取ります。
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy
宛先テナンシのポリシー・ステートメント
例: ソース・テナンシ(MetricsAdminsUserGroupInSource
)でMetricsAdminsUserGroup
を承認して、テナンシのメトリック・リソースに対してすべての操作を実行します:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy
例: ソース・テナンシ(MetricsAdminsUserGroupInSource
)でMetricsAdminsUserGroup
を承認して、SharedMetrics
コンパートメント内のメトリック・リソースのみを読み取ります:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics
例: ソース・テナンシ(MetricsAdminsDynamicGroupInSource
)で動的グループ(MetricsAdminsDynamicGroup
)を承認して、SharedMetrics
コンパートメント内のメトリック・リソースのみを読み取ります:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics