このページは機械翻訳したものです。

Oracle Cloud Migrationsの保護

このトピックでは、Oracle Cloud Migrationsを使用するためのセキュリティ情報および推奨事項について説明します。

オンプレミス環境から仮想マシン(VM)のメタデータを収集するために、Oracle Cloud Migrationsサービスはオンプレミス環境のリモート・エージェント・アプライアンス(仮想アプライアンス)を使用します。リモート・エージェント・アプライアンスは、オンプレミス環境の一部としてOracle Cloud Infrastructure (OCI)の外部で実行されます。

アプライアンスは、シール済仮想マシンとして配布され、通常のVMと比較してより強化されますが、OCIで制御される環境内で実行されているすべてのサービス・コンポーネントよりも、アプライアンスのセキュリティは低くなります。

Oracle Cloud Migrationsサービスは、他のコアOCIテナンシ・リソース(サービス)を使用して移行を実行するため、これらのリソースと対話するための明示的な権限が必要です。

次の各項では、次の方法について説明します。
  • コンパートメントおよびIdentity and Access Management (IAM)ポリシーを使用して、移行シークレットへのアクセスを保護します。
  • コンパートメントとIAMポリシーを使用して、移行サービス・コンポーネントと他のコアOCIサービス間の通信を保護すること。

セキュリティの推奨事項

リモート・エージェント・アプライアンスは、検出やレプリケーションなど、いくつかのプラグインを実行します。これらのプラグインは、オンプレミス環境アセットにアクセスし、必要な操作を実行できるようにするための資格証明を必要とします。

プラグインの資格証明は、OCI Vaultにシークレットとして格納されます。移行シークレットへのアクセスを保護し、他のコアOCIサービスに対する権限を提供するための推奨事項を次に示します。

  • 最小権限の原則を実践することで、OCI Vaultのシークレットを整理および格納するためのベストプラクティスを理解し、それに従います。移行シークレットを格納する専用コンパートメントを作成します。これは、OCI Vaultに格納されている他のシークレットとは別のコンパートメントです。
  • 検出およびレプリケーション・プラグインのみが移行シークレット・コンパートメント内のシークレットにアクセスできるようにするアイデンティティ・ポリシー・ステートメントを作成します。
  • 移行タスクの実行に必要な他のコアOCIサービスへの最小限のアクセスを可能にするアイデンティティ・ポリシー・ステートメントを作成します。

セキュリティ・ポリシーの例

次に、移行コンパートメントのシークレットにアクセスするためのポリシーを作成する例を示します。

シークレットを使用してコンパートメントを編成し、検出プラグインがシークレットにアクセスできるようにします

  1. migration_secretsなどの移行シークレット用に指定されたコンパートメントを作成します。

    「コンパートメントを使用するための推奨事項」を参照してください。

  2. migration_secretsコンパートメントを使用してVaultを作成します。
  3. ボールトのキーの管理
  4. 作成したmigration_secretsに検出プラグインがアクセスできるようにするポリシーを作成します。

    たとえば、検出プラグインは、migration_secretsの読取りアクセス権を提供します。

    Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment migration_secrets

    検出プラグイン・ポリシーの詳細は、Oracle Cloud移行サービス・ポリシーを参照してください。

シークレットを使用したコンパートメントの編成およびレプリケーション・プラグインによるシークレットへのアクセスの許可

  1. migration_secretsなどの移行シークレット用に指定されたコンパートメントを作成します。
  2. migration_secretsコンパートメントを使用したVaultの作成
  3. ボールトのマスター暗号化キーを作成します。
  4. 作成したmigration_secretsにレプリケーション・プラグインがアクセスできるようにするポリシーを作成します。

    たとえば、レプリケーション・プラグインには、migration_secretsの読取りアクセスが提供されます。

    Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment migration_secrets

    レプリケーション・プラグイン・ポリシーの詳細は、Oracle Cloud Migration Serviceポリシーを参照してください。

ハイドレーション・エージェントがレプリケーション・バケットからスナップショット・オブジェクトにアクセスできるようにする

Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>

ハイドレーション・エージェント・ポリシーの詳細は、Oracle Cloud Migration Serviceポリシーを参照してください。