サービス・コネクタ・ハブの保護

このトピックでは、Oracle Cloud Infrastructure Service Connector Hubサービスのセキュリティ情報および推奨事項について説明します。

セキュリティの責任

サービス・コネクタ・ハブを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。

一般に、Oracleはクラウド・インフラストラクチャおよび操作(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティのパッチ適用など)のセキュリティを提供します。クラウド・リソースを安全に構成する責任があります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護はOracleが担当します。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

セキュリティの責任については、このページで説明します。このページには、次の領域が含まれています。

  • アクセス制御:権限はできるかぎり制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。

初期セキュリティ・タスク

Use this checklist to identify the tasks you perform to secure Service Connector Hub in a new Oracle Cloud Infrastructure tenancy.

タスク 詳細情報
IAMポリシーを使用したユーザーとリソースへのアクセスの付与 IAMポリシー

定期的なセキュリティ・タスク

サービス・コネクタ・ハブの使用を開始した後、このチェックリストを使用して、定期的に実行することを推奨するセキュリティ・タスクを識別します。

サービス・コネクタ・ハブには、定期的に実行する必要があるセキュリティ・タスクがありません。

IAMポリシー

ポリシーを使用して、サービス・コネクタ・ハブへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには動詞があります。最小限のアクセス数から使用できる動詞は、inspectreaduseおよびmanageです。

ユーザー・アクセス・ポリシー

このポリシーを作成して、グループConnectorUsersABCコンパートメントのサービス・コネクタを作成、更新および削除できるようにします。

Allow group ConnectorUsers to manage serviceconnectors in compartment ABC

このポリシーを作成して、グループConnectorUsersABCコンパートメント内のサービス・コネクタのみ(グループによるサービス・コネクタの作成または削除を許可しない)の更新を許可します。

Allow group ConnectorUsers to use serviceconnectors in compartment ABC

サービス・コネクタ・ハブ・ポリシーの詳細は、サービス・コネクタ・ハブの詳細を参照してください。

サービス・アクセス・ポリシー

ノート

作成するポリシーが会社のガイドラインに準拠していることを確認します。

To move data, your service connector must have authorization to access the specified resources in the source , task , and target  services. Some resources are accessible without policies. Default policies providing the required authorization are offered when you use the Console to define a service connector. These policies are limited to the context of the service connector. You can either accept the default policies or ensure that you have the proper authorizations in group-based policies.

For example, the following default policy is offered when you create or edit a service connector that moves data from Logging to Monitoring.

allow any-user to use metrics in compartment id <target_metric_compartment_OCID>
where all {
    request.principal.type='serviceconnector',
    target.metrics.namespace='<metric_namespace>',
    request.principal.compartment.id='<serviceconnector_compartment_OCID>'
}

デフォルト・ポリシーなどの詳細は、「ソース、タスクおよびターゲット・サービスへのアクセス」を参照してください。