ファイル・ストレージの保護

ファイル・ストレージ・サービスは、各顧客のVCNサブネットにNFSv3エンドポイントをマウント・ターゲットとして公開します。マウント・ターゲットはDNS名で識別され、IPアドレスにマップされます。(ターゲット・サブネットの)VCNセキュリティ・リストを使用して、認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成することをお薦めします。詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。

コンソールで、またはNFSユーティリティを使用してLinuxコマンドラインから、ファイル・システムをマウントできます。IAMセキュリティ・ポリシーを使用して、ファイル・システムをマウントするユーザーを許可できますが、これはコンソールに限られます。

データ耐久性のために、ファイル・システムの定期的なスナップショットを作成することをお薦めします。データの誤った削除を最小限に抑えるために、マウント・ターゲット、ファイルシステムおよびスナップショットを削除する権限を持つユーザーのセットを制限します。

ファイルシステムのすべてのデータは保存中に暗号化されます。

リモート・ホストからマウントされたNFSファイル・システムへのアクセスは、POSIXのユーザーとグループのアクセス権によって決まります。すべてのユーザーをnfsnobodyにマップするall_squashオプションや、マウントされたファイル・システムにアクセス制御を適用するNFS ACLなど、よく知られたNFSセキュリティのベスト・プラクティスを使用することをお薦めします。

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE'