Oracle Cloud Infrastructureドキュメント

セキュリティ・アドバイザの開始

Oracle Cloud Infrastructure Security Advisorを使用してセキュア・リソースを作成する前に、次の前提条件タスクを完了します。

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

ポリシーの動作の詳細は、ポリシーの仕組みを参照してください。

バケットの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のバケットおよびオブジェクトに関するすべての操作を実行できます:
    Allow group CreateSecureOSBucketGroup to manage object-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、バケット・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトを作成することはできません。)
    Allow group CreateSecureOSBucketGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureOSBucketGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、オブジェクト・ストレージ・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます:
    Allow service ObjectStorage-<region_name> to use keys in compartment CompartmentDEF

    前述の例では、次のように<region_name>を適切なリージョン識別子に置き換えます:

    • objectstorage-us-phoenix-1

    • objectstorage-us-ashburn-1

    • objectstorage-eu-frankfurt-1

    • objectstorage-uk-london-1

    • objectstorage-ap-tokyo-1

    Oracle Cloud Infrastructureリージョンのリージョン名の値を識別するには、リージョンおよび可用性ドメインについてを参照してください。

ファイル・システムの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のファイル・システムおよびマウント・ターゲットに関するすべての操作を実行できます:
    Allow group CreateSecureFileStorageGroup to manage file-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、ファイル・システム・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトは作成できません。)
    Allow group CreateSecureFileStorageGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureFileStorageGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、ファイル・ストレージ・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます:
    Allow service Fss<realm_key>Prod to use keys in compartment CompartmentDEF

    前述の例で、ポリシーは、サービス・プリンシパル名FssOc1Prodによってファイル・ストレージ・サービスを参照します。

    ファイル・ストレージ・サービス・ユーザーの名前は、レルムによって異なります。レルム・キー番号が10以下のレルムの場合、ファイル・ストレージ・サービス・ユーザーのパターンはFssOc<n>Prodです。ここで、nはレルム・キー番号です。レルム・キー番号が10を超えるレルムのサービス・ユーザーはfssocprodです。レルムの詳細は、リージョンおよび可用性ドメインについてを参照してください。

コンピュート・インスタンスの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のネットワーキングのすべてのコンポーネントをリストおよび使用できます。これには、仮想クラウド・ネットワーク(VCN)、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。
    Allow group CreateSecureVMGroup to use virtual-network-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のインスタンス・イメージを作成および管理できます:
    Allow group CreateSecureVMGroup to manage instance-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、インスタンス・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトは作成できません。)
    Allow group CreateSecureVMGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureVMGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、ブロック・ボリューム・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます。ブロック・ボリューム・サービスは、インスタンスにアタッチされたブート・ボリュームの処理を担当します。
    Allow service blockstorage to use keys in compartment CompartmentDEF

ブロック・ボリュームの作成に必要なIAMポリシー

  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループに関するすべての操作を実行できます:
    Allow group CreateSecureBlockVolumeGroup to manage volume-family in compartment CompartmentABC
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のボールトに関するすべての操作を実行できます。これは、ボリューム・コンパートメントと同じコンパートメントではないこともあります。(必要に応じて、かわりにuse vaults権限を付与するポリシーを記述できます。その権限では、指定されたグループは既存のボールトを使用できますが、新しいボールトを作成することはできません。)
    Allow group CreateSecureBlockVolumeGroup to manage vaults in compartment CompartmentDEF
  • 次のポリシーにより、指定したグループは、指定したコンパートメント内のキーに関するすべての操作を実行できます。これは、ボールト・コンパートメントと同じコンパートメントである必要があります:
    Allow group CreateSecureBlockVolumeGroup to manage keys in compartment CompartmentDEF
  • 次のポリシーにより、ブロック・ボリューム・サービスは、指定したコンパートメント内のすべてのキーに関する暗号化操作をリスト、表示および実行できます:
    Allow service blockstorage to use keys in compartment CompartmentDEF