1. Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク
  2. アイデンティティと認可ポリシーの管理

アイデンティティと認可ポリシーの管理

Oracle Cloud Infrastructure Identity and Access Managementを使用すると、クラウド・リソースにアクセスできるユーザーを制御できます。アクセスおよび認可の資格証明には、APIキー、サインイン・パスワード、フェデレーテッド・サインインおよび認証トークンが含まれます。適切な資格証明を使用して、クラウド・アカウントおよびリソースを保護します。Oracleでは、クラウドにアイデンティティ管理を実装する際に、次の推奨事項を採用することをお薦めします。

マルチファクタ認証(MFA)の使用の強制

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト

時間制限付きのワンタイム・パスワードを使用して認証されたユーザーのみに、リソースへのアクセスを制限します。
これはユーザー・レベルで必要であり、IAMを介してリソース・レベルで実行する必要があります。リソースへのアクセスを許可するアクセス・ポリシーのリソースに対してMFAを強制できます。たとえば、次のポリシーは、GroupAのユーザーが任意のコンパートメントのインスタンス・ファミリに属するリソースを管理する場合にMFAを強制します。
allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

日常的な操作にテナンシ管理者アカウントを使用しない

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト

管理アクセスをさらに制限するには、テナンシのサービス・レベル管理者を作成する必要があります。サービスレベルの管理者は、特定のサービスまたはドメインのリソースしか管理できません。
たとえば、次のポリシーでは、VolumeAdminsグループのユーザーは、ブロック・ボリューム・ファミリのリソースのみを管理できます。
Allow group VolumeAdmins to manage volume-family in tenancy

管理者アカウントのロックアウトを防ぐためのセキュリティ・ポリシーの作成

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

これは、テナンシ管理者が組織を離れる場合です。

テナンシ管理者グループの管理機能の制限

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

管理者権限は最小権限のルールに従う必要があるため、管理グループへのメンバーシップまたは管理ポリシーへのアタッチメントは必要に応じて制限する必要があります。

次のポリシーにより、UserAdminsグループのユーザーはテナンシのグループのみを調査できます。 

Allow group UserAdmins to inspect groups in tenancy

アクセス・ポリシーの偶発的または悪意のある削除(および変更)の防止

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト

たとえば、次のポリシーでは、PolicyAdminsグループのユーザーにのみポリシーの作成が許可されますが、編集や削除は許可されません。 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Oracle Cloud Infrastructure Identity and Access Managementのフェデレート

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト

可能で関連性がある場合は、Oracle Cloud Infrastructure Identity and Access Managementを組織の一元的なアイデンティティ・プロバイダ(IdP)とフェデレートします。
  • フェデレーテッドIdPの管理者グループにマップし、フェデレーテッドIdPの管理者グループと同じセキュリティ・ポリシーによって制御されるフェデレーション管理者グループを作成します。
  • ローカル・ユーザーを作成し、そのユーザーをデフォルトのAdministrators IAMグループに割り当てます。このユーザーは、ブレーク・グラス・タイプのシナリオ(フェデレーションを介してリソースにアクセスできない場合など)に使用します。
  • フェデレーテッド管理者IAMグループが、デフォルト・テナンシAdministratorsグループのメンバーシップを変更しないようにポリシーを定義します。
  • テナンシ管理者による操作およびAdministratorsグループに対する変更の監査ログを監視することで、認可されていないアクセスおよび操作を検出します。

すべてのユーザーのアクティビティおよびステータスのモニターおよび管理

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト

すべてのユーザーのアクティビティおよびステータスをモニターおよび管理します。
  • 従業員が組織を離れる場合は、ユーザーを即座に削除してテナンシへのアクセス権を無効化します。
  • 90日以内にユーザー・パスワードおよびAPIキーのローテーションを強制します。
  • Identity and Access Management (IAM)資格証明がソフトウェアまたは操作のドキュメントにハードコードされていないことを確認します。
  • テナンシのリソースへのアクセス権を必要とする組織の全員に対してIAMユーザーを作成します。複数のユーザー間でIAMユーザーを共有しないでください。
  • IAMグループ内のユーザーを定期的に確認し、アクセス権が必要なくなったユーザーは削除します。
  • 少なくとも90日ごとにIAM APIキーを変更して、侵害のリスクを軽減します。

さらに学ぶ