タグ付けの保護
このトピックでは、Oracle Cloud Infrastructure Taggingのセキュリティ情報および推奨事項について説明します。
セキュリティ権限
タグ付けを安全に使用するには、セキュリティおよびコンプライアンスの責任を学習します。
Oracleは、次のセキュリティ要件を担当します。
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructure内のすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
このページでは、セキュリティ権限について説明します。このページには、次の領域があります。
- アクセス制御:権限をできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
初期セキュリティ・タスク
IAMポリシー
ポリシーを使用して、タグ付けへのアクセスを制限します。
ポリシーは、誰がOracle Cloud Infrastructureリソースにアクセスできるか、およびその方法を指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その責任を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループが許可されるアクションを説明する動詞があります。最もアクセスの少ない量から、使用可能な動詞はinspect
、read
、use
およびmanage
です。
最小セットのIAMユーザーおよびグループにMANAGE
権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意の削除によるデータの損失を最小限に抑えます。タグ管理者にMANAGE
権限のみを付与します。
次の例では、グループ内のユーザーがテナンシ内のタグ・ネームスペースを管理できるようにします。
Allow group GroupA to manage tag-namespaces in tenancy
グループAのユーザーには、コンパートメント内のインスタンスを管理するために必要な権限があります。ユーザーがコンパートメント内のインスタンスにタグを適用できるようにするには、次の文をグループAポリシーに追加する必要があります。この文は、指定されたネームスペースへのアクセス権をグループに付与します。
Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
manage tag-defaults
:タグのデフォルトを追加するコンパートメントにアクセスします。use tag-namespaces
:タグ・ネームスペースが存在するコンパートメントにアクセスします。inspect tag-namespaces
:テナンシにアクセスします。
GroupAというグループが、タグ・ネームスペースのセットが存在するCompartmentAというコンパートメントにタグのデフォルトを追加できるようにするには、次のステートメントを使用してポリシーを記述します。
Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy
タグ付けポリシーの詳細および例は、アイデンティティ・ドメインのないIAMの詳細を参照してください。
アクセス制御
IAMポリシーの作成に加えて、タグベースのアクセス制御を使用して、ターゲット・リソースまたはリクエスト・リソースへのアクセスをロック・ダウンします。タグベースのアクセス制御では、特定のユーザー・グループまたはコンパートメント内のリソースへのアクセスを制限および付与することによって、別のセキュリティ・レイヤーを提供します。
タグ付けのこの機能の詳細は、タグを使用したアクセスの管理を参照してください
機密保護
機密情報または機密情報の格納方法としてタグを使用しないでください。ボールト・サービスを使用して、シークレットを暗号化および管理します。