Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの作成

セキュリティ・ゾーンを作成して、コンパートメント内のリソースがセキュリティ・ポリシーに準拠していることを確認します。

セキュリティ・ゾーンを作成する前に、テナンシでクラウド・ガードを有効にする必要があります。クラウド・ガードの開始を参照してください。

セキュリティ・ゾーンを作成するときに、Oracle管理のレシピまたはカスタム・レシピを選択できます。

コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードは次のアクションを実行します:
  • コンパートメントとそのサブコンパートメントの既存のクラウド・ガード・ターゲットを削除します
  • コンパートメントのセキュリティ・ゾーン・ターゲットの作成
  • デフォルトのOracle管理ディテクタ・レシピをセキュリティ・ゾーンのコンパートメントに追加します

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成する場合、クラウド・ガードはサブコンパートメントに対して個別のセキュリティ・ゾーン・ターゲットを作成します。親コンパートメントの既存のターゲットは変更されません。

次の図は、サブコンパートメント内の新しいセキュリティ・ゾーンのクラウド・ガード構成を示しています:


親コンパートメントはセキュリティ・ゾーンにあり、子コンパートメントは別のセキュリティ・ゾーンにあります。各コンパートメントは、クラウド・ガードの異なるセキュリティ・ゾーン・ターゲットに関連付けられています。子コンパートメントのセキュリティ・ゾーン・ターゲットは、デフォルトのディテクタ・レシピに関連付けられています。

フルサイズ・イメージの表示

注意

柔軟性を最大限に高めるために、テナンシのルート・コンパートメントにセキュリティ・ゾーンを割り当てないでください。ルート・コンパートメントに適用されるセキュリティ・ゾーンによって、テナンシ全体で可能なアクションが制約される場合があります。この構成は特定のユースケースに適していますが、ほとんどのユーザーには制限が多すぎます。
    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「概要」をクリックします。
    2. 「リスト・スコープ」で、セキュリティ・ゾーンで保護するコンパートメントを選択します。

      セキュリティ・ゾーンにまだ関連付けられているコンパートメントを選択します。

      セキュリティ・ゾーン・リソースは、選択したコンパートメントに作成されます。

      デフォルトでは、すべてのサブコンパートメントには親コンパートメントと同じセキュリティ・ゾーンが割り当てられます。

    3. 「セキュリティ・ゾーンの作成」をクリックします。

      選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合、このボタンは無効になります。

    4. 「セキュリティ・ゾーンの作成」パネルの「セキュリティ・ゾーン・レシピ」で、次のいずれかのオプションを選択します:
      • Oracle管理: セキュリティ・ゾーンでは、最大セキュリティ・レシピが使用されます。
      • 顧客管理: セキュリティ・ゾーンでは、選択したカスタム・レシピが使用されます。

      レシピが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックします。

    5. セキュリティ・ゾーンの名前および説明を入力します。

      セキュリティ・ゾーンの命名または説明時には、機密情報を表示しないようにしてください。

      セキュリティ・ゾーンの作成後に名前を変更することはできません。

    6. セキュリティ・ゾーンのコンパートメントを確認します。
    7. (オプション)セキュリティ・ゾーンにタグを適用します。

      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。リソース・タグを参照してください。作成後にセキュリティ・ゾーンにタグを適用することもできます。

    8. 次のいずれかのオプションを選択します:
      • 今すぐセキュリティ・ゾーンを作成するには、「セキュリティ・ゾーンの作成」をクリックします。
      • リソース構成をTerraform構成として保存するには、「スタックとして保存」をクリックします。

        リソース定義からのスタックの保存の詳細は、「リソース作成ページからのスタックの作成」を参照してください。

    新しいセキュリティ・ゾーンは「作成中」状態です。コンパートメントとそのサブコンパートメントをセキュリティ・ゾーンに関連付けるには、数分かかる場合があります。終了すると、セキュリティ・ゾーンは 「アクティブ」状態になります。

    このセキュリティ・ゾーンのコンパートメントに既存のリソースが含まれている場合は、ゾーンのレシピのポリシーに違反しているかどうかを確認できます。

  • セキュリティ・ゾーンを作成するには、oci cloud-guard security-zone createコマンドおよび必須パラメータを使用します:

    oci cloud-guard security-zone create --compartment-id <compartment_ocid> --display-name <security_zone_name> --security_zone-recipe-id <security_zone_recipe_ocid> [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateSecurityZone操作を実行して、セキュリティ・ゾーンを作成します。