セキュリティ・ゾーンの管理
セキュリティ・ゾーンを作成および管理して、コンパートメント内のリソースを保護します。
次のセキュリティ・ゾーン管理タスクを実行できます:
- セキュリティ・ゾーンの作成
- セキュリティ・ゾーンの詳細の取得
- コンパートメント内のセキュリティ・ゾーン・ポリシーのリスト
- セキュリティ・ゾーン内のポリシー違反の表示
- セキュリティ・ゾーン内のコンパートメントの表示
- コンパートメント内のセキュリティ・ゾーンの表示
- セキュリティ・ゾーンの編集
- コンパートメント間でのセキュリティ・ゾーンの移動
- セキュリティ・ゾーンからのサブコンパートメントの削除
- セキュリティ・ゾーンへの削除済サブコンパートメントの追加
- セキュリティ・ゾーンの削除
セキュリティ・ゾーンには次の特性があります:
- コンパートメントに作成されますが、単一のコンパートメントに制限されません
- 単一の親がある単一のコンパートメントまたはコンパートメントの階層に関連付けられます
- セキュリティ・ゾーン・レシピが割り当てられます
コンパートメントを複数のセキュリティ・ゾーンに含めることはできません。
コンパートメントのセキュリティ・ゾーンを作成すると、セキュリティ・ゾーンのポリシーに違反するリソースの作成や変更などの操作が自動的に防止されます。ゾーンのレシピでポリシーに違反する操作は拒否されます。ただし、セキュリティ・ゾーンの前に作成された既存のリソースがポリシーに違反することもあります。セキュリティ・ゾーンはOracle Cloud Guardと統合され、既存のリソースのポリシー違反を識別します。
セキュリティ・ゾーンを作成する前に、テナントでクラウド・ガードを有効にする必要があります。クラウド・ガードの開始を参照してください。
各テナンシには、Maximum Security Recipe
という名前の事前定義済レシピがあり、これにはいくつかのキュレートされたセキュリティ・ゾーン・ポリシーが含まれています。このレシピはOracleによって管理され、ユーザーは変更できません。
カスタム・レシピを作成するか、既存のレシピをクローニングできます。セキュリティ・ゾーンでのレシピの管理を参照してください。
コンパートメントのセキュリティ・ゾーンを作成すると、サブコンパートメントも同じセキュリティ・ゾーン内にあります。また、次のこともできます:
- セキュリティ・ゾーンからのサブコンパートメントの削除
- サブコンパートメント用の別のセキュリティ・ゾーンの作成
データの整合性を確保するために、特定のリソースをセキュリティ・ゾーン内のコンパートメントからセキュリティ・ゾーン内にないコンパートメントに移動することはできません。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用しているかにかかわらず、管理者が記述したIAMポリシーで必要なタイプのアクセス権が付与されている必要があります。
アクションを実行しようとして、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプと作業するコンパートメントを管理者に確認してください。
たとえば、次のIAMポリシーでは、グループSecurityAdmins
のユーザーはテナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できます。
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
クラウド・ガード・ポリシーを参照してください。