セキュリティ・ゾーンの管理
セキュリティ・ゾーンを作成および管理して、コンパートメント内のリソースを保護します。
次のセキュリティ・ゾーン管理タスクを実行できます。
- セキュリティ・ゾーンのリスト
- セキュリティ・ゾーンの作成
- セキュリティ・ゾーンの詳細の表示
- セキュリティ・ゾーンの編集
- コンパートメント間でのセキュリティ・ゾーンの移動
- セキュリティ・ゾーンの削除
- セキュリティ・ゾーンからのサブ・コンパートメントの削除
- セキュリティ・ゾーンへの削除済サブコンパートメントの追加
- コンパートメント内のセキュリティ・ゾーン・ポリシーの表示
- セキュリティ・ゾーン内のポリシー違反の表示
- セキュリティ・ゾーン内のコンパートメントの表示
セキュリティ・ゾーンには次の特性があります:
- コンパートメントに作成されますが、単一のコンパートメントに制限されることはありません
- 単一のコンパートメントまたは単一の親を持つコンパートメントの階層に関連付けられます
- セキュリティ・ゾーン・レシピが割り当てられます
コンパートメントを複数のセキュリティ・ゾーンに含めることはできません。
コンパートメントのセキュリティ・ゾーンを作成すると、セキュリティ・ゾーンのポリシーに違反するリソースの作成や変更などの操作が自動的に防止されます。ゾーンのレシピでポリシーに違反する操作は拒否されます。ただし、セキュリティ・ゾーンの前に作成された既存のリソースがポリシーに違反することもあります。セキュリティ・ゾーンをOracle Cloud Guardと統合して、既存のリソースのポリシー違反を識別します。
セキュリティ・ゾーンを作成する前に、テナンシでクラウド・ガードを有効にする必要があります。クラウド・ガードの開始を参照してください。
各テナンシには、Maximum Security Recipeという事前定義済のレシピがあり、これにはいくつかの厳選されたセキュリティ・ゾーン・ポリシーが含まれています。Oracleはこのレシピを管理し、変更できません。
カスタム・レシピを作成するか、既存のレシピをクローニングできます。セキュリティ・ゾーンでのレシピの管理を参照してください。
コンパートメントのセキュリティ・ゾーンを作成すると、サブコンパートメントも同じセキュリティ・ゾーン内にあります。また、次のこともできます:
- セキュリティ・ゾーンからのサブコンパートメントの削除
- サブコンパートメント用の別のセキュリティ・ゾーンの作成
データの整合性を確保するために、特定のリソースを、セキュリティ・ゾーン内のコンパートメントからセキュリティ・ゾーン内にないコンパートメントに移動することはできません。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用しているかにかかわらず、管理者が記述したIAMポリシーで必要なタイプのアクセス権が付与されている必要があります。
アクションを実行しようとして、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプと作業するコンパートメントを管理者に確認してください。
たとえば、次のIAMポリシーでは、グループSecurityAdminsのユーザーはテナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除します。
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyクラウド・ガード・ポリシーを参照してください。