セキュリティ

各OCIテナンシには、デフォルトでテナンシ管理者グループのメンバーである管理者アカウントが含まれます。Administratorsグループは、テナンシ全体へのフル・アクセス権を付与します。このため、テナンシの日常管理に管理者アカウントを使用しないことがベスト・プラクティスです。

ベスト・プラクティスは、緊急シナリオ用に管理者グループを予約することです。個々の管理者に、テナンシ全体へのフル・アクセス権を持つ1人のユーザーがいなくても、それぞれの領域を管理する権限を付与できます。

Identity Cloud ServiceインスタンスがOCIのネイティブ部分になると、管理者グループのメンバーはIAMアイデンティティ・ドメインを管理するためのフル・アクセス権を持ちます。これは、現在のIdentity Cloud Service管理者がOCIアカウントに対する管理権限を持っていることを意味しません。

管理者グループの使用が、組織のセキュリティ・ポリシーと一致していることを確認します。

場合によっては、テナンシの作成時に提供されたIDCSインスタンス(通常はIdentityCloudService)にOCI_Administratorsというグループが追加されます。このグループは、作成時にユーザーが割り当てられていないデフォルト・アイデンティティ・ドメインの管理者グループにマップされます。ユーザーがテナンシ全体へのフル・アクセス権を持つようにする場合は、それらをIdentityCloudServicedomainのOCI_Administratorsグループに追加できます。

アイデンティティ・ドメイン管理者ロールを持つユーザーは、そのアイデンティティ・ドメインの管理権限を持ちます。ベスト・プラクティスは、アイデンティティ・ドメイン管理者が、タスクの実行に必要な管理職責の最小セットを使用して、他の管理者(またはユーザー管理者など)を作成することです。管理者ロールの理解を参照してください。

管理者ロールは、特定のアイデンティティ・ドメインにスコープ指定されます。したがって、たとえば、DomainBのユーザー管理者は、DomainBのユーザーのみを管理でき、DomainAのユーザーを管理できません。

管理者ロールとは対照的に、ポリシーはテナンシのコンパートメントに適用されます。したがって、たとえば、DomainAのグループfooのユーザーに次のようなポリシーが与えられているとします。

allow group DomainA/foo to manage users in tenancy

これにより、テナンシ全体に対するこれらの権限がユーザーに付与されます。

アイデンティティ・ドメインでは、パスワード・ルールの設定に使用されるIAM認証設定が、パスワード・ポリシーの一部になりました。複数のパスワード・ポリシーを定義し、それらを異なるグループに割り当てることができます。「サインオン・ポリシーの管理」を参照してください。

ネットワーク・ソースを使用して、ユーザーがコンソールへのサインインなどの特定のアクションを実行できる許可されたIPアドレスのセットを指定している場合は、アイデンティティ・ドメインを使用してネットワーク・ペリメータを使用して同じことを実行できます。ネットワーク・ペリメータの管理を参照してください。

1. Identity Cloud Serviceを移行する前に、使用するネットワーク・ソース(my-allow-list 140.160.240.0/24など)をノートにとります。
2. テナンシの移行後、同じIPアドレスを使用してネットワーク・ペリメータを作成します。「ネットワーク・ペリメーターの作成」を参照してください。
3. 新しいネットワーク・ペリメータを参照するポリシー(サインオン・ポリシーやアイデンティティ・プロバイダ・ポリシーなど)を作成します。

デフォルトのサインオン・ポリシーを使用してIdentity Cloud Serviceコンソールを保護している場合、そのポリシーは移行後も引き続きルールを適用します。

移行後、OCIコンソールはアカウントに対して有効になり、OCIコンソールのセキュリティ・ポリシーと呼ばれる新しいサインオン・ポリシーによって保護されます。

サインオン・ポリシーの詳細は、サインオン・ポリシーおよびサインオン・ルールについてを参照してください。