Oracle Cloud Infrastructureドキュメント

モニタリングの保護

このトピックでは、Oracle Cloud Infrastructure Monitoringサービスのセキュリティ情報および推奨事項について説明します。

セキュリティの責任

モニタリングを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護はOracleが担当します。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

セキュリティの責任については、このページで説明します。このページには、次の領域が含まれています。

  • アクセス制御:権限はできるかぎり制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。

初期セキュリティ・タスク

このチェックリストを使用して、モニタリングを新しいOracle Cloud Infrastructureテナンシで保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用したユーザーとリソースへのアクセスの付与 IAMポリシー

定期的なセキュリティ・タスク

モニタリングを開始した後、このチェックリストを使用して、定期的に実行するセキュリティ・タスクを識別します。

監視には、定期的に実行する必要のあるセキュリティ・タスクがありません。

IAMポリシー

ポリシーを使用して、モニタリングへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その責任を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループが許可されるアクションを説明する動詞があります。最もアクセスの少ない量から、使用可能な動詞はinspectreaduseおよびmanageです。

モニタリング・ポリシーの詳細は、モニタリングの詳細を参照してください。

グループのアラーム アクセス

アラームの詳細と履歴の取得

グループがアラーム詳細の取得およびアラーム履歴の取得を許可するには、このポリシーを作成します。アラーム履歴を取得するには、read metrics行が必要です。

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

警告の管理

このポリシーを作成すると、グループは、ストリームおよび既存のトピックを使用して通知を管理できます。このポリシーでは、新規トピックの作成は許可されていません。

ノート

ストリームの選択に必要な権限にグループを制限するには、use streams{STREAM_READ, STREAM_PRODUCE}に置き換えます。
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

アラームの管理およびトピックの作成

このポリシーを作成すると、アラームの管理が可能になります。これには、通知のトピック(およびサブスクリプション)の作成(および通知のストリームの使用)が含まれます。

ノート

ストリームの選択に必要な権限にグループを制限するには、use streams{STREAM_READ, STREAM_PRODUCE}に置き換えます。
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

グループのメトリック・アクセス

メトリック定義のリスト

このポリシーを作成すると、グループはコンパートメント内のメトリック定義をリストできます。

Allow group <group_name> to inspect metrics in compartment <compartment_name>

問合せメトリック

グループがコンパートメント内のメトリックの問合せを許可するには、このポリシーを作成します。

Allow group <group_name> to read metrics in compartment <compartment_name>

メトリック・ネームスペースの問合せメトリック

このポリシーを作成して、グループがメトリック・ネームスペースに制限されたコンパートメント内のメトリックの問合せを許可します。

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

カスタム・メトリックの公開

このポリシーを作成すると、グループはメトリック・ネームスペースへのカスタム・メトリックを公開したり、メトリック・データの表示、アラームおよびトピックの作成、およびアラームでのストリームの使用が可能になります。

ノート

ストリームの選択に必要な権限にグループを制限するには、use streams{STREAM_READ, STREAM_PRODUCE}に置き換えます。
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

リソースのメトリック・アクセス

コンピュート・インスタンスまたは他のリソースがAPIコールを介してメトリックを監視する場合は、次を実行します。

APIをコールするコンピュート・インスタンスの詳細は、インスタンスからのサービスのコールを参照してください。

  1. 一致するルールを使用して、リソースを動的グループに追加します。

  2. 動的グループがメトリックにアクセスできるようにするポリシーを作成します。

    Allow dynamic-group <dynamic_group_name> to read metrics in tenancy

クロステナンシ・メトリック・アクセス

クロステナンシ・メトリック・アクセスを使用して、独自のテナンシを持つ別の組織とメトリックを共有します。たとえば、会社内の別のビジネス・ユニット、会社の顧客または会社にサービスを提供する会社とメトリックを共有します。

リソースにアクセスして共有するには、両方のテナンシの管理者は、アクセスと共有が可能なリソースを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特別なステートメントは、DefineEndorseおよびAdmitという語句を使用します。これらのステートメントの詳細は、「テナンシをまたがるオブジェクト・ストレージ・リソースへのアクセス」ページの「ステートメントの承認、許可および定義」を参照してください。

ソース・テナント・ポリシー・ステートメント

ソース管理者は、宛先テナンシでリソースを管理できるソースIAMグループを承認するポリシー・ステートメントを作成します。

例: MetricsAdminsUserGroupをエンドースして、任意のテナンシのメトリック・リソースに対してすべての操作を実行します: 

Endorse group MetricsAdminsUserGroup to manage metrics in any-tenancy

テナンシ・アクセスの範囲を狭くするポリシーを記述するには、ソース管理者が宛先管理者によって指定された宛先テナンシOCIDを参照する必要があります。

例: MetricsAdminsUserGroupをエンドースして、宛先テナンシ(DestinationTenancy)のメトリック・リソースのみを読み取ります。

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to read metrics in tenancy DestinationTenancy

グループが宛先テナンシにメトリックを公開できるようにするには、manage動詞を使用します:

例: MetricsAdminsUserGroupをエンドースして、宛先テナンシ(DestinationTenancy)のみのメトリック・リソースを管理します: 

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group MetricsAdminsUserGroupInSource to manage metrics in tenancy DestinationTenancy

例: 動的グループ(MetricsAdminsDynamicGroup)をエンドースして、宛先テナンシのメトリック・リソースを読み取ります。

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse dynamic-group MetricsAdminsDynamicGroup to read metrics in tenancy DestinationTenancy

宛先テナント・ポリシー・ステートメント

例: ソース・テナンシ(MetricsAdminsUserGroupInSource)でMetricsAdminsUserGroupを承認して、テナンシのメトリック・リソースに対してすべての操作を実行します: 

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to manage metrics in tenancy

例: ソース・テナンシ(MetricsAdminsUserGroupInSource)でMetricsAdminsUserGroupを承認して、SharedMetricsコンパートメント内のメトリック・リソースのみを読み取ります: 

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group MetricsAdminsUserGroupInSource as ocid1.group.oc1..<unique_ID>
Admit group MetricsAdminsUserGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics

例: ソース・テナンシ(MetricsAdminsDynamicGroupInSource)で動的グループ(MetricsAdminsDynamicGroup)を承認して、SharedMetricsコンパートメント内のメトリック・リソースのみを読み取ります: 

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group MetricsAdminsDynamicGroupInSource as ocid1.dynamicgroup.oc1..<unique_ID>
Admit dynamic-group MetricsAdminsDynamicGroupInSource of tenancy SourceTenancy to read metrics in compartment SharedMetrics