セキュリティ

各OCIテナンシには、デフォルトでテナンシ管理者グループのメンバーである管理者アカウントが含まれます。Administratorsグループは、テナンシ全体への完全なアクセス権を付与します。このため、テナンシの日常的な管理には管理者アカウントを使用しないことをお薦めします。

ベスト・プラクティスは、管理者グループを緊急シナリオ用に予約することです。個々の管理者には、テナンシ全体へのフル・アクセス権を持つ個人がなくても、それぞれの領域を管理する権限を付与できます。

Identity Cloud ServiceインスタンスがOCIのネイティブ部分になると、管理者グループのメンバーはIAMアイデンティティ・ドメインを管理するための完全なアクセス権を持ちます。これは、現在のIdentity Cloud Service管理者がOCIアカウントに対する管理権限を持っていることを意味しません。

Administratorsグループの使用が組織のセキュリティ・ポリシーと一致していることを確認します。

場合によっては、テナンシの作成時に提供されたIDCSインスタンスにOCI_Administratorsというグループが追加されます(通常はIdentityCloudServiceと呼ばれます)。このグループは、作成時にユーザーが割り当てられていないデフォルト・アイデンティティ・ドメインの管理者グループにマップされます。テナンシ全体へのフル・アクセス権をユーザーに付与する場合は、IdentityCloudServicedomainのOCI_Administratorsグループに追加できます。

アイデンティティ・ドメイン管理者ロールを持つユーザーには、そのアイデンティティ・ドメインに対する管理権限があります。ベスト・プラクティスは、アイデンティティ・ドメイン管理者が、タスクの実行に必要な管理職責の最小セットを使用して、他の管理者管理者(またはユーザー管理者)を作成することです。管理者ロールの理解を参照してください。

管理者ロールのスコープは、特定のアイデンティティ・ドメインです。そのため、たとえば、DomainBのユーザー管理者は、DomainBのユーザーのみを管理でき、DomainAのユーザーを管理できません。

管理者ロールとは対照的に、ポリシーはテナンシのコンパートメントに適用されます。そのため、たとえば、DomainAのグループfooのユーザーに次のようなポリシーが与えられるとします。

allow group DomainA/foo to manage users in tenancy

これにより、テナンシ全体に対する権限がユーザーに付与されます。

アイデンティティ・ドメインでは、パスワード・ルールの設定に使用されるIAM認証設定がパスワード・ポリシーの一部になりました。複数のパスワード・ポリシーを定義し、それらを異なるグループに割り当てることができます。「サインオン・ポリシーの管理」を参照してください。

ネットワーク・ソースを使用して、ユーザーがコンソールへのサインインなどの特定のアクションを実行できる許可されたIPアドレスのセットを指定している場合は、アイデンティティ・ドメインを使用してネットワーク・ペリメータを使用して同じことを実行できます。「ネットワーク・ペリメータの管理」を参照してください。

1. Identity Cloud Serviceを移行する前に、使用するネットワーク・ソース(my-allow-list 140.160.240.0/24など)をノートにとります。
2. テナンシの移行後、同じIPアドレスを使用してネットワーク・ペリメータを作成します。「ネットワーク・ペリメーターの作成」を参照してください。
3. サインオン・ポリシーやアイデンティティ・プロバイダ・ポリシーなど、新しいネットワーク・ペリメータを参照するポリシーを作成します。

デフォルトのサインオン・ポリシーを使用してIdentity Cloud Serviceコンソールを保護している場合、そのポリシーは移行後に引き続きルールを適用します。

移行後、OCIコンソールはアカウントに対して有効になり、OCIコンソールのセキュリティ・ポリシーという新しいサインオン・ポリシーによって保護されます。

サインオン・ポリシーの詳細は、「サインオン・ポリシーおよびサインオン・ルールについて」を参照してください。