前提条件
Oracle Cloud Guardを有効にする前に、これらのタスクを実行します。
クラウド・ガードは、無料のOracle Cloud Infrastructureテナンシでは使用できません。クラウド・ガードを有効にしようとする前に、次のことを確認してください:
- 有料テナンシがあります。
- テナンシ・アカウント・タイプは次のいずれかです。
- default_dbaas
- enterprise_dbaas
- エンタープライズ
クラウド・ガード・ユーザー・グループの作成
ユーザーがクラウド・ガードで作業できるようにするには、管理者権限でユーザー・グループを作成します。
クラウド・ガードは、セキュリティ情報をグローバルに扱うため、使用できるユーザーを制限する必要があります。
次の手順
作成したグループにクラウド・ガード・ユーザーを追加します。
ユーザーのフェデレーテッド認証のためにOracle Identity Cloud Serviceなどのアイデンティティ・プロバイダ(IdP)を使用する予定の場合は、作成したOCI IAMグループにアイデンティティ・プロバイダ・グループをマップする必要があります。Oracle Identity Cloud Serviceで従うステップは、コンソールでのOracle Identity Cloud Serviceユーザーの管理を参照してください。
ユーザーのポリシー・ステートメント
ポリシー・ステートメントを追加して、定義したクラウド・ガード・ユーザー・グループがクラウド・ガード・リソースを管理できるようにします。
クラウド・ガードを有効にするために必要なすべてのポリシーは、Oracle Cloud Infrastructure Identity and Access Management (IAM)の共通ポリシーのトピックにあります。そのページで、「クラウド・ガード」を検索して、見つかった4つのリストを展開します。
個々のクラウド・ガード・ポリシーの詳細は、クラウド・ガード・ポリシーを参照してください。
クラウド・ガード・リソースを管理するには、次のポリシー・ステートメントを追加してCloudGuardUsersグループのすべてのユーザーを有効にします。CloudGuardUsersという名前を付けなかった場合は、グループに割り当てた名前に置き換えます。
allow group CloudGuardUsers to manage cloud-guard-family in tenancyこのポリシーを適用すると、クラウド・ガード・ユーザー・グループに追加したユーザーは、クラウド・ガードの有効化に進むことができます。
なんらかの理由で前述のポリシー・ステートメントをそのまま追加しない場合、ユーザーにクラウド・ガードへのアクセスを許可するための最低要件として、次のポリシー・ステートメントを追加する必要があります:
allow group CloudGuardUsers to use cloud-guard-config in tenancy組織に存在する可能性のある一般的なセキュリティ機能に基づいて、クラウド・ガードでは次の管理者ロールがサポートされます。各ロールには、対応するIAMリソース名と、クラウド・ガード機能へのアクセスの制御に使用できるポリシーがあります。
| 管理者ロール | クラウド・ガード機能 | IAM権限リソース | アクセス可能な機能 |
|---|---|---|---|
| サービス所有者(ルートまたはスーパー管理者) |
|
cloud-guard-family | テナンシでのcloud-guard-familyの管理 |
| セキュリティ・アーキテクト(セキュリティ・アナリスト) |
|
cloud-guard-detectors cloud-guard-targets cloud-guard-detector-recipes cloud-guard-responder-recipes cloud-guard-managed-lists cloud-guard-problems cloud-guard-risk-scores cloud-guard-security-scores |
テナンシ/コンパートメントでのこれらのリソースの管理/調査/読取り* |
| Security Operations管理 |
|
cloud-guard-problems | クラウド・ガードの問題の管理/調査/読取り* |
* 読取りと調査: 読取りではリストされている問題の詳細を表示できますが、調査では問題リストの表示のみが可能です。読取りは調査のスーパーセットです。
ターゲットを削除できるのはルート管理者のみであることを確認してください。
次の表にリストされているユース・ケースでは、管理者ロールおよびそれらをサポートするように構成できるIAMポリシーの例を示します。
| ユースケース | 最小必須ポリシー | 許可、禁止する機能 | 権限 | 認証 |
|---|---|---|---|---|
| すべてのコンパートメントのクラウド・ガード・データおよび構成への読取り専用アクセス | 管理者は、cgreadgroupなどの特別なグループを作成し、そのグループにユーザーを追加して、次のポリシーを追加できます:
|
許可: 「概要」、「問題」、「ディテクタ」、「ターゲット」および「レスポンダ・アクティビティ」ページの読取り。 禁止: ディテクタ・レシピの編集またはクローニング、ターゲットの作成、ターゲットからのレシピの削除、および管理対象リストの作成。 |
「概要」ページ - 読取り: | はい |
| 問題 - 読取り: | はい | |||
| 問題 - 管理: | いいえ | |||
| 問題 - 修正: | いいえ | |||
| ターゲット - 読取り: | はい | |||
| ターゲット - 管理: | いいえ | |||
| ディテクタ・レシピ/ルール - 読取り: | はい | |||
| ディテクタ・レシピ/ルール - 管理: | いいえ | |||
| レスポンダ・アクティビティ - 読取り: | はい | |||
| 1つのコンパートメントのクラウド・ガード・データおよび構成への読取り専用アクセス | 管理者は、cggroupcomptonlyなどの特別なグループを作成し、そのグループにユーザーを追加して、次のポリシーを追加できます('OCIDemo'はここでのコンパートメントの名前です):
|
許可: 「概要」、「問題」、「ディテクタ」および「ターゲット」ページでの、指定したコンパートメントのみのデータの読取り。 禁止: 他のコンパートメントのデータを表示しているページの読取り。 |
「概要」ページ - 読取り: | はい |
| 問題 - 読取り: | はい | |||
| 問題 - 管理: | いいえ | |||
| 問題 - 修正: | いいえ | |||
| ターゲット - 読取り: | はい | |||
| ターゲット - 管理: | いいえ | |||
| ディテクタ・レシピおよびルール - 読取り: | はい | |||
| ディテクタ・レシピおよびルール - 管理: | いいえ | |||
| レスポンダ・アクティビティ - 読取り: | はい | |||
| クラウド・ガード・ディテクタ・レシピへの読取り専用アクセス | 管理者は、cgreaddetrecipesなどの特別なグループを作成し、そのグループにユーザーを追加して、次のポリシーを追加できます:
|
許可: ディテクタ・レシピおよびルールのページの読取り。 禁止: レシピのクローニングまたは削除。レシピのルールの管理、ディテクタおよびレスポンダの外部のページの表示。 |
「概要」ページ - 読取り: | いいえ |
| 問題 - 読取り: | いいえ | |||
| 問題 - 管理: | いいえ | |||
| 問題 - 修正: | いいえ | |||
| ターゲット - 読取り: | いいえ | |||
| ターゲット - 管理: | いいえ | |||
| ディテクタ・レシピおよびルール - 読取り: | はい | |||
| ディテクタ・レシピおよびルール - 管理: | いいえ | |||
| レスポンダ・アクティビティ - 読取り: | いいえ | |||
| クラウド・ガードの問題への読取り専用アクセス(セキュリティ・スコアおよびリスク・スコアを除く) | 管理者は、cgreadproblemsなどの特別なグループを作成し、そのグループにユーザーを追加して、次のポリシーを追加できます:
|
許可 「概要」ページでの表示:
禁止 「概要」ページでのアクセス:
他のすべてのページへのアクセスも禁止されます。 |
「概要」ページ - 読取り: (「問題のスナップショット」、「グループ化された問題」、「ユーザー・アクティビティの問題」および「新しい問題のトレンド線」に制限) |
はい |
| 問題 - 読取り: | いいえ | |||
| 問題 - 管理: | いいえ | |||
| 問題 - 修正: | いいえ | |||
| ターゲット - 読取り: | いいえ | |||
| ターゲット - 管理: | いいえ | |||
| ディテクタ・レシピおよびルール - 読取り: | いいえ | |||
| ディテクタ・レシピおよびルール - 管理: | いいえ | |||
| レスポンダ・アクティビティ - 読取り: | いいえ | |||
| クラウド・ガードの問題への読取り専用アクセス(セキュリティ・スコアおよびリスク・スコアを含む) | 管理者は、前述の行のようなユーザーの特別なグループを、そこに説明されているポリシーを使用して作成し、次のポリシーを追加できます:
|
許可 「概要」ページでの表示:
禁止 「概要」ページでのアクセス:
他のすべてのページへのアクセスも禁止されます。 |
「概要」ページ - 読取り: (「セキュリティ・スコア」、「リスクのスコア」、「問題のスナップショット」、「グループ化された問題」、「ユーザー・アクティビティの問題」および「新しい問題のトレンド線」に制限) |
はい |
| 問題 - 読取り: | いいえ | |||
| 問題 - 管理: | いいえ | |||
| 問題 - 修正: | いいえ | |||
| ターゲット - 読取り: | いいえ | |||
| ターゲット - 管理: | いいえ | |||
| ディテクタ・レシピおよびルール - 読取り: | いいえ | |||
| ディテクタ・レシピおよびルール - 管理: | いいえ | |||
| レスポンダ・アクティビティ - 読取り: | いいえ |
次の表は、使用可能なクラウド・ガード権限をまとめたものです。
| 権限 | 用途 | 必須スコープ | ノート |
|---|---|---|---|
|
cloud-guard-family |
クラウド・ガードに存在するすべての権限を単一の権限に集約します。 これに対してメタ動詞 |
テナンシまたはコンパートメント |
すべての権限に対する共通の権限名。 |
|
cloud-guard-detectors |
不要になりました。静的データは認可なしで使用できます。 |
該当なし |
コンソールでは使用されません。 |
|
cloud-guard-targets |
コンパートメントまたはテナンシのターゲット・データを表示および管理するために必要です。 問題をフィルタするための選択リストに最小限移入するには、
前に作成したターゲットを更新するには、 ターゲットのライフサイクルを管理するには、 推奨: この権限のスコープをコンパートメントに設定して、ユーザーがそのコンパートメント内でのみ操作を実行できるようにします。 |
テナンシまたはコンパートメント |
データは、「ターゲット」ページで使用され、「問題」ページをフィルタするためのドロップダウン・フィールドに移入する場合にも使用されます。 |
|
cloud-guard-config |
テナンシのクラウド・ガード構成を表示するために必要です。 この権限がない場合、ユーザーは「概要」および他のクラウド・ガード・ページを表示できません。クラウド・ガードの「有効化」ページにリダイレクトされます。
|
テナンシ |
このデータは、クラウド・ガードのステータスおよびレポート・リージョンの詳細を識別するために使用されます。コンソールからの後続のすべてのコールは、CRUDL操作を実行するためにレポート・リージョンにリダイレクトされます。 構成済のレポート・リージョンは、「設定」ページに表示されます。 |
|
cloud-guard-managed-lists |
コンパートメントまたはテナンシの管理対象リスト・データを表示および管理するために必要です。 ユーザーがルート・コンパートメントに存在するOracle管理リストをクローニングする必要がある場合、テナンシ・スコープで 管理対象リストの構成を表示したり、管理対象リストを条件グループに、またはターゲット、ディテクタ・レシピ、レスポンダ・レシピに存在する設定に関連付けたりするには、
新しい管理対象リストを作成したり、顧客が作成した管理対象リストのライフサイクルを管理したりするには、 |
テナンシまたはコンパートメント |
データは、「管理対象リスト」ページで使用され、管理対象リストを条件グループに、またはターゲット、ディテクタ・レシピ、レスポンダ・レシピに存在する設定に関連付ける値を移入する場合にも使用されます。 |
|
cloud-guard-problems |
コンパートメントまたはテナンシに存在する問題を表示し、それに対するアクションを実行するために必要です。 「概要」ページにデータを表示したり、「問題」ページに問題をリストしたりするには、 問題の詳細を表示する場合は、 ユーザーが単一または複数の問題に対して「解決済としてマーク」、「終了」、「修正」などのアクションを実行する場合は、 |
テナンシまたはコンパートメント |
データは、「問題」ページで使用され、「概要」ページで次のパネルに移入する場合にも使用されます:
「概要」ページでパネルを表示するには、少なくとも |
|
cloud-guard-detector-recipes |
コンパートメントまたはテナンシのディテクタ・レシピ・データを表示および管理するために必要です。 ユーザーがルート・コンパートメントに存在するOracle管理レシピをクローニングする必要がある場合、テナンシ・スコープで レシピ構成を表示し、ターゲットにレシピをアタッチするには、
レシピをクローニングし、クローニングしたレシピのライフサイクルを管理するには、 |
テナンシまたはコンパートメント |
データは、「ディテクタ・レシピ」ページで使用され、ディテクタ・レシピをターゲットにアタッチする際に使用される選択リストに移入する場合にも使用されます。 |
|
cloud-guard-responder-recipes |
コンパートメントまたはテナンシのレスポンダ・レシピ・データを表示および管理するために必要です。 ユーザーがルート・コンパートメントに存在するOracle管理レシピをクローニングする必要がある場合、テナンシ・スコープで レシピ構成を表示し、ターゲットにレシピをアタッチするには、
レシピをクローニングし、クローニングしたレシピのライフサイクルを管理するには、 |
テナンシまたはコンパートメント |
データは、「レスポンダ・レシピ」ページで使用され、レスポンダ・レシピをターゲットにアタッチする際に選択リストに移入する場合にも使用されます。 |
|
cloud-guard-responder-executions |
コンパートメントまたはテナンシのレスポンダ・アクティビティ・データを表示および管理するために必要です。 「概要」ページおよび「レスポンダ・アクティビティ」ページのデータを移入するには、少なくとも 特定のレスポンダ・アクティビティ・データを表示するには、 特定のレスポンダ・アクティビティに対して「スキップ」や「実行」などのアクションを実行したり、複数のレスポンダ・アクティビティに対して実行をスキップしたりするには、 |
テナンシまたはコンパートメント |
|
|
cloud-guard-recommendations |
テナンシに関連付けられたリスク・スコアおよびセキュリティ・スコアを増加させる推奨を表示するために必要です。 少なくとも |
テナンシまたはコンパートメント |
このデータは、「概要」ページの「セキュリティ推奨」パネルに表示されます。 |
|
cloud-guard-user-preferences |
クラウド・ガード・コンソールでユーザー・プリファレンスを管理するために必要です。現在は、ログイン・ユーザーのガイド・ツアーのステータスを管理するために使用されています。ユーザー・プリファレンスを保存すると、後続のログインでガイド・ツアーを完了するためのプロンプトがスキップされます。 現在のユーザーのプリファレンスを取得するには、少なくとも プリファレンスを保持するには、 |
テナンシ |
このデータは、「設定」ページの「ガイド・ツアー」セクションに表示されます。 |
|
cloud-guard-risk-scores |
テナンシのリスク・スコア・データを表示するために必要です。 この権限がない場合、ユーザーはテナンシに関連付けられたリスク・スコアを表示できません。 少なくとも |
テナンシ |
このデータは、「概要」ページの「リスクのスコア」パネルに表示されます。 |
|
cloud-guard-security-scores |
テナンシのセキュリティ・スコア評価を表示するために必要です。 この権限がない場合、ユーザーはテナンシに関連付けられたセキュリティ・スコアを表示できません。 少なくとも |
テナンシ |
このデータは、「概要」ページの「セキュリティ・スコア評価」および「セキュリティ・スコアのトレンド線」に表示されます。 |