セキュリティ・アドバイザの概要

Oracle Cloud Infrastructure Security Advisorは、セキュリティ・ゾーン構成によるテナンシの要件をサポートし、強化します。これを行うには、既存のワークフローを組み合せて合理化し、アウトセットからベースライン・セキュリティ要件を満たすリソースを効率的に作成します。具体的には、以前にボールトまたは暗号化キーを作成したことがない場合でも、リソースの作成時に新しい顧客管理暗号化キーをリソースに割り当てることができます。セキュリティ・ゾーンでは、許可されたユーザー以外はキーにアクセスできないため、可能な場合は顧客管理キーを使用した暗号化が必要です。これにより、明示的に許可されたキーによってのみ復号化および読取りが可能な機密データが生成されます。

合理化されたワークフローにより、複雑さと意思決定が軽減されます。それ以外の場合は、構成設定のいずれかを選択する必要があります。セキュリティ・アドバイザには、よりセキュアなオプションのみが用意されています。たとえば、セキュリティ・アドバイザでは256ビット長のマスター暗号化キーのみを作成できます。暗号化キーが長いほど、セキュリティが向上します。

認証および認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されます。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

企業が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。管理者は、使用するコンパートメントを確認できます。

セキュリティ・アドバイザは既存のワークフローの機能を利用するため、テナンシでは、すでに設定されている以外の権限を付与するために新しいポリシーが必要ない場合があります。確実にするために、テナンシの既存のポリシーを、選択したワークフローで説明されている権限の例と比較できます。特に、Vaultリソースへのアクセス権を付与するポリシーがあることを確認します(特に、以前にサービスを使用していない場合)。

ポリシー文の例では、指定したグループがセキュリティ・アドバイザで許可されている操作を実行できるようにします。かわりに、新しいボールトの作成を制限する場合は、ボールトの管理に必要なアクセス・レベルではなく、ボールトのみを使用する権限を付与するポリシーを記述できます。ボールトを使用する権限がある場合、ユーザーは既存のボールトを選択できますが、新しいボールトを作成することはできません。これにより、セキュリティ・アドバイザに表示されるオプションは変更されませんが、発行時にすべての操作が成功するかどうかに影響します。

リージョンおよび可用性ドメイン

セキュリティ・アドバイザは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。リージョンのリスト、関連する場所、リージョン識別子、リージョン・キーおよび可用性ドメインについては、「リージョンおよび可用性ドメインについて」を参照してください。

セキュリティ・アドバイザと統合される各サービスには、1つの例外を除いて、すべてのAPI操作用の単一の地域エンドポイントがあります。ボールト・サービスには、ボールトの作成、更新およびリスト操作を処理するプロビジョニング・サービス用のリージョン・エンドポイントが1つあります。キーの作成、更新およびリスト操作の場合、サービス・エンドポイントは複数の独立したクラスタに分散されます。

リソースの制限

セキュリティ・アドバイザはリソースを導入せず、どのリソースの使用レベルにも制限を課しません。ただし、セキュリティ・アドバイザでは、他のサービスによって設定された制限が考慮されます。

適用可能な制限の一覧と制限の拡大のリクエスト方法については、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。

テナンシのリソース制限に対する使用レベルを表示する手順は、「サービス制限、割当て制限および使用状況の表示」を参照してください。ボールトの場合、ボールトの詳細でキーとキーのバージョン数を表示することで、キー制限に対する個々のボールトの使用状況を取得することもできます。