Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの作成

セキュリティ・ゾーンを作成して、コンパートメント内のリソースがセキュリティ・ポリシーに準拠していることを確認します。

セキュリティ・ゾーンを作成する前に、テナンシでクラウド・ガードを有効にする必要があります。クラウド・ガードの開始を参照してください。

セキュリティ・ゾーンを作成するときに、Oracle管理のレシピまたはカスタム・レシピを選択できます。

コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードは次のアクションを実行します:
  • コンパートメントとそのサブコンパートメントに対する既存のクラウド・ガード・ターゲットを削除します
  • コンパートメントのセキュリティ・ゾーン・ターゲットを作成します
  • デフォルトのOracle管理ディテクタ・レシピをセキュリティ・ゾーンのコンパートメントに追加します

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成する場合、クラウド・ガードはサブコンパートメントに対して個別のセキュリティ・ゾーン・ターゲットを作成します。親コンパートメントの既存のターゲットは変更されません。

次の図は、サブコンパートメント内の新しいセキュリティ・ゾーンのクラウド・ガード構成を示します:


親コンパートメントはセキュリティ・ゾーンにあり、子コンパートメントは別のセキュリティ・ゾーンにあります。各コンパートメントは、クラウド・ガードの異なるセキュリティ・ゾーン・ターゲットに関連付けられています。子コンパートメントのセキュリティ・ゾーン・ターゲットは、デフォルトのディテクタ・レシピに関連付けられています。

フル・サイズのイメージの表示

注意

柔軟性を最大限に高めるために、テナンシのルート・コンパートメントにセキュリティ・ゾーンを割り当てることは避けてください。ルート・コンパートメントに適用されるセキュリティ・ゾーンによって、テナンシ全体で可能なアクションが制限される場合があります。この構成は特定のユース・ケースに適している場合がありますが、ほとんどのユーザーにとって制限が大きすぎます。
    1. 「セキュリティ・ゾーン」リスト・ページで、セキュリティ・ゾーンを作成するコンパートメントを選択します。リスト・ページまたはコンパートメント・フィルタの検索に関するヘルプが必要な場合は、セキュリティ・ゾーンのリストを参照してください。
    2. 「セキュリティ・ゾーンの作成」を選択します。

      選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合は、このボタンの無効化になります。

    3. 「セキュリティ・ゾーンの作成」パネルの「セキュリティ・ゾーン・レシピ」で、次のいずれかのオプションを選択します。
      • Oracle管理: セキュリティ・ゾーンでは、最大セキュリティ・レシピが使用されます。
      • 顧客管理: セキュリティ・ゾーンでは、選択したカスタム・レシピが使用されます。

      レシピが別のコンパートメントにある場合は、「コンパートメントの変更」を選択します。

    4. セキュリティ・ゾーンの名前および説明を入力します。

      セキュリティ・ゾーンの命名または記述時に機密情報を表示しないようにします。

      セキュリティ・ゾーンの名前は、作成後に変更することはできません。

    5. セキュリティ・ゾーンのコンパートメントを確認します。
    6. (オプション)セキュリティ・ゾーンにタグを適用します。

      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。リソース・タグを参照してください。作成後にセキュリティ・ゾーンにタグを適用することもできます。

    7. 次のいずれかのオプションを選択します:
      • セキュリティ・ゾーンを今すぐ作成するには、「セキュリティ・ゾーンの作成」を選択します。
      • リソース構成をTerraform構成として保存するには、「スタックとして保存」を選択します。

        リソース定義からスタックを保存する方法の詳細は、「リソース作成ページからのスタックの作成」を参照してください。

    新しいセキュリティ・ゾーンは作成中状態になります。コンパートメントとそのサブコンパートメントをセキュリティ・ゾーンに関連付けるには、数分かかる場合があります。終了すると、セキュリティ・ゾーンは「アクティブ」状態です。

    このセキュリティ・ゾーンのコンパートメントの既存のリソースが含まれている場合は、ゾーンのレシピのポリシーに違反しているかを確認できます。

  • セキュリティ・ゾーンを作成するには、oci cloud-guard security-zone createコマンドと必要なパラメータを使用します:

    oci cloud-guard security-zone create --compartment-id <compartment_ocid> --display-name <security_zone_name> --security_zone-recipe-id <security_zone_recipe_ocid> [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateSecurityZone操作を実行して、セキュリティ・ゾーンを作成します。