クラスタ配置グループの保護
クラスタ配置グループのセキュリティ・タスクおよび推奨事項について学習します。
Oracle Cloud Infrastructureクラスタ配置グループを使用すると、低レイテンシのネットワーク・ニーズを持つリソースを互いに近接して作成できます。リソースの配置は、可能なかぎり低いレイテンシを実現するのに役立ちます。クラスタ配置グループは、リソースを同じ論理グループ(クラスタ配置グループ)にデプロイして、可用性ドメイン内の互いに物理的に近い場所に配置することを確認します。
セキュリティの責任
クラスタ配置グループをセキュアに使用するには、セキュリティおよびコンプライアンスの職責について学習します。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでクラスタ配置グループを保護するために実行するタスクを識別します。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | クラスタ配置グループ・ポリシー |
定期的なセキュリティ・タスク
クラスタ配置グループには、定期的に実行する必要があるセキュリティ・タスクはありません。
IAMポリシー
ポリシーを使用して、クラスタ配置グループへのアクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。
クラスタ配置グループは、次のようなクラスタ配置グループへのアクセスをさらに制限するためのポリシー変数をサポートしています。
target.cluster-placement-group.id- クラスタ配置グループの詳細の取得時またはクラスタ配置グループのリスト表示時、クラスタ配置グループの作成、更新、削除または移動時、またはクラスタ配置グループへのリソースのデプロイ時に、特定のクラスタ配置グループへのアクセスを制限します。target.cluster-placement-group.name- クラスタ配置グループの詳細の取得またはクラスタ配置グループのリスト表示時、またはクラスタ配置グループの作成、更新、削除または移動時に、特定のクラスタ配置グループへのアクセスを制限します。
IAMユーザーおよびグループの最小セットにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者にのみ付与します。
クラスタ配置グループへのアクセス権を付与する場合は、特定のコンパートメントに対する権限の範囲を設定することをお薦めします。たとえば、次のポリシーを作成して、グループNetworkAdminsのユーザーがコンパートメントcompartmentABC内のすべてのクラスタ配置グループ・リソースを作成、更新および削除できるようにします。
Allow group NetworkAdmins to manage cluster-placement-groups in compartmentABCクラスタ配置グループ・ポリシーの詳細は、クラスタ配置グループ・ポリシーを参照してください。