セキュリティ・ゾーンでのレシピの管理
セキュリティ・ゾーンを作成するときに、それにレシピを割り当てます。レシピとは、セキュリティ・ゾーン・ポリシーの集合です。
次のセキュリティ・ゾーン管理タスクを実行できます:
- セキュリティ・ゾーン・レシピの作成
- セキュリティ・ゾーン・レシピのクローニング
- セキュリティ・ゾーンでのレシピの詳細の取得
- レシピに関連付けられたセキュリティ・ゾーンの表示
- セキュリティ・ゾーン・レシピの編集
- 別のコンパートメントへのレシピの移動
- セキュリティ・ゾーン・レシピの削除
コンピュート・インスタンスやサブネットの作成など、セキュリティ・ゾーンで特定のリソース操作を実行する場合、Oracle Cloud Infrastructureでは、セキュリティ・ゾーンに割り当てられているレシピ内のポリシーが自動的に検証されます。
各テナンシには、Maximum Security Recipeという名前の事前定義済レシピがあり、これにはいくつかのキュレートされたセキュリティ・ゾーン・ポリシーが含まれています。このレシピはOracleによって管理され、ユーザーは変更できません。
カスタム・レシピを作成するか、既存のレシピをクローニングできます。カスタム・レシピ内では、セキュリティ・ゾーンが特定のセキュリティ要件を満たすように、セキュリティ・ゾーン・ポリシーを有効化および無効化できます。
ポリシーをレシピで無効にする場合は注意してください。ポリシーを無効にすると、セキュリティ・ゾーン内のリソースのセキュリティ状態が低下する可能性があります。
セキュリティ・ゾーン・ポリシーはタイプ別に編成されます。各タイプは、次のいずれかのクラウド・セキュリティ原則に準拠します。
- リソース移動の制限
- リソース・アソシエーションの制限
- パブリック・アクセスの拒否
- 暗号化の要求
- データ耐久性の保証
- データ・セキュリティの保証
- Oracleが承認する構成のみの使用
各ポリシーは、コンピュート、オブジェクト・ストレージ、データベースなどの特定のクラウド・リソース・タイプに影響します。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用しているかにかかわらず、管理者が記述したIAMポリシーで必要なタイプのアクセス権が付与されている必要があります。
アクションを実行しようとして、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプと作業するコンパートメントを管理者に確認してください。
たとえば、次のIAMポリシーでは、グループSecurityAdminsのユーザーはテナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できます。
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyクラウド・ガード・ポリシーを参照してください。