クラウド・アドバイザの保護
このトピックでは、Oracle Cloud Infrastructureのクラウド・アドバイザ・サービスのセキュリティ情報および推奨事項について説明します。
セキュリティの責任
クラウド・アドバイザを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。
一般に、Oracleはクラウド・インフラストラクチャおよび操作(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティのパッチ適用など)のセキュリティを提供します。クラウド・リソースを安全に構成する責任があります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは次のセキュリティ要件を担当します。
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
セキュリティ職責には、次の領域が含まれます。
- アクセス制御:権限はできるかぎり制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでクラウド・アドバイザを保護するために実行するタスクを識別します。
タスク | 詳細情報 |
---|---|
IAMポリシーを使用したユーザーへのアクセス付与 | IAMポリシー |
定期的なセキュリティ・タスク
クラウド・アドバイザには、定期的に実行する必要があるセキュリティ・タスクがありません。
IAMポリシー
ポリシーを使用して、クラウド・アドバイザへのアクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには動詞があります。最小限のアクセス数から使用できる動詞は、inspect
、read
、use
およびmanage
です。
このポリシーを作成すると、グループCloudAdvisorUsers
がプロファイルの削除を除くクラウド・アドバイザのすべてのアクションを実行できます。
Allow group CloudAdvisorUsers to manage optimizer-api-family in tenancy
where request.permission!='OPTIMIZER_PROFILE_DELETE'
クラウド・アドバイザのポリシーの詳細、およびその他の例を表示するには、クラウド・アドバイザのポリシーの作成を参照してください。
データ暗号化
クラウド・アドバイザは、サービスに保存されているすべてのデータに対して標準のOracle Cloud Infrastructure暗号化を使用します。構成は不要です。
クラウド・アドバイザでは、ボールト・キーは使用されません。内部的に、クラウド・アドバイザは、ボールト・キーを使用するAutonomous Databaseにデータを格納します。Oracleはこれらのリソースを管理および保護します。
データ耐久性
クラウド・アドバイザはバックアップを毎日作成します。構成は不要です。