Oracle Cloud Migrationsの保護
このトピックでは、Oracle Cloud Migrationsを使用するためのセキュリティ情報および推奨事項について説明します。
オンプレミス環境から仮想マシン(VM)のメタデータを収集するために、Oracle Cloud Migrationsサービスはオンプレミス環境のリモート・エージェント・アプライアンス(仮想アプライアンス)を使用します。リモート・エージェント・アプライアンスは、オンプレミス環境の一部としてOracle Cloud Infrastructure (OCI)の外部で実行されます。
アプライアンスは、シール済仮想マシンとして配布され、通常のVMと比較してより強化されますが、OCIで制御される環境内で実行されているすべてのサービス・コンポーネントよりも、アプライアンスのセキュリティは低くなります。
Oracle Cloud Migrationsサービスは、他のコアOCIテナンシ・リソース(サービス)を使用して移行を実行するため、これらのリソースと対話するための明示的な権限が必要です。
- コンパートメントおよびIdentity and Access Management (IAM)ポリシーを使用して、移行シークレットへのアクセスを保護します。
- コンパートメントとIAMポリシーを使用して、移行サービス・コンポーネントと他のコアOCIサービス間の通信を保護すること。
セキュリティの推奨事項
リモート・エージェント・アプライアンスは、検出やレプリケーションなど、いくつかのプラグインを実行します。これらのプラグインは、オンプレミス環境アセットにアクセスし、必要な操作を実行できるようにするための資格証明を必要とします。
プラグインの資格証明は、OCI Vaultにシークレットとして格納されます。移行シークレットへのアクセスを保護し、他のコアOCIサービスに対する権限を提供するための推奨事項を次に示します。
- 最小権限の原則を実践することで、OCI Vaultのシークレットを整理および格納するためのベストプラクティスを理解し、それに従います。移行シークレットを格納する専用コンパートメントを作成します。これは、OCI Vaultに格納されている他のシークレットとは別のコンパートメントです。
- 検出およびレプリケーション・プラグインのみが移行シークレット・コンパートメント内のシークレットにアクセスできるようにするアイデンティティ・ポリシー・ステートメントを作成します。
- 移行タスクの実行に必要な他のコアOCIサービスへの最小限のアクセスを可能にするアイデンティティ・ポリシー・ステートメントを作成します。
セキュリティ・ポリシーの例 🔗
次に、移行コンパートメントのシークレットにアクセスするためのポリシーを作成する例を示します。
シークレットを使用してコンパートメントを編成し、検出プラグインがシークレットにアクセスできるようにします
migration_secrets
などの移行シークレット用に指定されたコンパートメントを作成します。「コンパートメントを使用するための推奨事項」を参照してください。
migration_secrets
コンパートメントを使用してVaultを作成します。- ボールトのキーの管理。
-
作成した
migration_secrets
に検出プラグインがアクセスできるようにするポリシーを作成します。たとえば、検出プラグインは、
migration_secrets
の読取りアクセス権を提供します。Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment migration_secrets
検出プラグイン・ポリシーの詳細は、Oracle Cloud移行サービス・ポリシーを参照してください。
シークレットを使用したコンパートメントの編成およびレプリケーション・プラグインによるシークレットへのアクセスの許可
migration_secrets
などの移行シークレット用に指定されたコンパートメントを作成します。migration_secrets
コンパートメントを使用したVaultの作成。- ボールトのマスター暗号化キーを作成します。
-
作成した
migration_secrets
にレプリケーション・プラグインがアクセスできるようにするポリシーを作成します。たとえば、レプリケーション・プラグインには、
migration_secrets
の読取りアクセスが提供されます。Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment migration_secrets
レプリケーション・プラグイン・ポリシーの詳細は、Oracle Cloud Migration Serviceポリシーを参照してください。
ハイドレーション・エージェントがレプリケーション・バケットからスナップショット・オブジェクトにアクセスできるようにする
Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
ハイドレーション・エージェント・ポリシーの詳細は、Oracle Cloud Migration Serviceポリシーを参照してください。