ドキュメント理解のセキュリティ保護

ドキュメント理解をセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースを安全に構成する責任はお客様にあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います。

• 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
• セキュリティ・パッチ適用: Oracleは、Oracle Cloud Infrastructureサービスに最新のセキュリティ・パッチが適用されるように、毎月セキュリティ・パッチ適用を実行します。

セキュリティ職責には次の領域が含まれます。

• アクセス制御:権限を可能なかぎり制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
• 暗号化および機密性:暗号化キーおよびシークレットを使用してデータを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでドキュメント理解を保護するために実行するタスクを識別します。

ドキュメント理解には、定期的に実行する必要があるセキュリティ・タスクはありません。

ポリシーを使用して、ドキュメント理解へのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには動詞があります。最もアクセス数が少ないものから、使用可能な動詞は、inspect、read、useおよびmanageです。

このポリシーを作成すると、グループはドキュメント理解のすべてのアクション(グループの削除を除く)を実行できます。DOCUMENT_DELETEおよびDOCUMENT_GROUP_DELETE権限は、テナンシおよびコンパートメント管理者に制限してください。

Allow group DashboardUsers to manage dashboards-family in tenancy
            where request.permission!='DASHBOARD_DELETE'
            and where request.permission!='DASHBOARD_GROUP_DELETE'

ドキュメント理解ポリシーの詳細およびその他の例については、ドキュメント理解ポリシーについてを参照してください。

ドキュメント理解では、サービスに保存されているすべてのデータに対して標準のOracle Cloud Infrastructure暗号化を使用します。構成は必要ありません。

ドキュメントの理解では、バックアップは作成されません。データを削除した後は、データをリストアできません。ポリシーを使用して、ドキュメント理解へのアクセスを制限し、ユーザーによるデータの削除権限を制限します。

ドキュメント理解では、HTTPSプロトコルを使用してデータを保護し、IAMポリシーを使用してAPIを保護します。

ドキュメント理解では、Oracle Cloud Infrastructure Auditサービスを使用して、ドキュメント理解リソースに対するコールを記録します。監査サービスは、次のログ・イベントを記録します:

• コンソール、CLIまたはSDKによって行われたAPIコール
• 他のOracle Cloud Infrastructureサービスによるコール
• 使用するカスタム・クライアントによるコール