タグ付けの保護

このトピックでは、Oracle Cloud Infrastructure Taggingのセキュリティ情報および推奨事項について説明します。

セキュリティの責任

安全にタグ付けを使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

  • アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。

初期セキュリティ・タスク

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでタグ付けを保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 IAMポリシー
シークレットを使用した資格証明の管理 機密保持

IAMポリシー

タグ付けへのアクセスは、ポリシーを使用して制限します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspectreadusemanageです。

IAMユーザーおよびグループの最小セットにMANAGE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。タグ管理者のみにMANAGE権限を付与します。

タグ・ネームスペースおよびタグ定義を管理するには

次の例では、グループ内のユーザーがテナンシのタグ・ネームスペースを管理できるようにします。

Allow group GroupA to manage tag-namespaces in tenancy
タグ・ネームスペースへのアクセス権を付与するには

グループAのユーザーは、コンパートメント内のインスタンスを管理するために必要な権限を持っています。ユーザーがコンパートメント内のインスタンスにタグを適用できるようにするには、グループAポリシーに次のステートメントを追加する必要があります。この文は、指定されたネームスペースへのアクセス権をグループに付与します。

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
タグのデフォルトを追加するアクセス権を付与するには
タグのデフォルトを追加するには、次の権限が必要です。
  • manage tag-defaults: タグのデフォルトを追加するコンパートメントにアクセスします。
  • use tag-namespaces: タグ・ネームスペースが存在するコンパートメントにアクセスします。
  • inspect tag-namespaces: テナンシにアクセスします。

GroupAというグループが、タグ・ネームスペースのセットが存在するCompartmentAというコンパートメントにタグのデフォルトを追加できるようにするには、次の文を使用してポリシーを記述します。

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

タグ付けポリシーの詳細およびその他の例については、アイデンティティ・ドメインのないIAMの詳細を参照してください。

アクセス制御

IAMポリシーの作成に加えて、タグベースのアクセス制御を使用して、ターゲット・リソースまたはリクエスト元のリソースへのアクセスをロックダウンします。タグベースのアクセス制御は、特定のユーザー・グループまたはコンパートメント内のリソースへのアクセスを制限および付与することで、別のセキュリティ・レイヤーを提供します。

タグ付けのこの機能についてさらに学習するには、タグを使用したアクセスの管理を参照してください

機密保護

機密情報や機密情報を格納する方法としてタグを使用しないでください。Vaultサービスを使用して、シークレットを暗号化および管理します。