IAMでのポリシーの拒否: 明示的なアクセス制御

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)では、管理者が特定のアクションを明示的にブロックし、アクセス制御を強化できるオプトイン機能である拒否ポリシーが導入されています。デフォルトでは、拒否ポリシーは無効化され、セキュアなコンソール・ワークフローを介してテナンシ管理者のみがアクティブ化できます。有効にすると、拒否ステートメントを管理できるユーザーを制限するデフォルトのルートレベルポリシーが作成され、承認されていない更新からの保護に役立ちます。デフォルトの管理者グループは、継続的な管理アクセスを確保するために常に拒否から除外されます。

この新機能の特徴は次のとおりです。

• オプトイン保護: デフォルトでは無効です。慎重で永続的なアクティベーションが必要です。
• 明示的な拒否: 以前に付与された権限をオーバーライドして、アクションを正確にブロックできます。
• 明示的なテナンシ・ガードレール: コンパートメント・レベルで厳密なリソース保護を実施するのに役立ちます。
• アカウント・ロックアウト防止: デフォルト・ドメインのデフォルトの管理者グループは、常にdeny文から除外されます。

重要なノートは次のとおりです。

• 拒否ポリシーは、アイデンティティ・ドメイン管理者ロールをオーバーライドしません。
• 拒否ポリシーの有効化は、UIでは元に戻せません。ただし、デフォルトドメインのデフォルトの管理者グループを除き、ユーザーを制限するdenyステートメントを記述して、これらのステートメントを作成することはできません。

開始手順の詳細は、OCI IAM拒否ポリシーを参照してください。