Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの...

OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの制御 / OCI IAM Identity Domains_Control OCI console access by IP Address

Avatar for oracle4engineer

oracle4engineer PRO

August 20, 2024
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 3 Copyright © 2025, Oracle and/or its affiliates はじめに Identity

    Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための下記の設定方法を説明します。 ・OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例):OCIコンソールアクセス時にMFA+IPアドレス制御の両方を実施したい場合
  2. 本手順で実現する内容 Copyright © 2025, Oracle and/or its affiliates 5 •

    OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール:MFA for administrators ルール:MFA for all users ルール:新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可
  3. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。
  4. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。
  5. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 8 3)ドメイン画面にて、適用済みフィルタ部分にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。
  6. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 9 4) ネットワーク・ペリメータを登録するため、メニュー「セキュリティ」を選択します。 ネットワーク・ペリメータ部分にて「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。
  7. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW)、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録(例:10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16)
  8. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 11 6)ネットワーク・ペリメータが作成されたことを確認します。
  9. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 12 7) サインオン・ポリシーの設定のため、メニュー「ドメイン・ポリシー」を選択します。 サインオン・ポリシー部分の「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。
  10. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 13 8) Security Policy for OCI Consoleの画面にて、メニュー「サインオン・ルール」を選択します。 サインオン・ルール部分の「MFA for administrators」の編集マークを開き、「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。
  11. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 14 9) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。
  12. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 15 10) 同画面の後段にある「同意」をチェックONにし、理由部分に「MFA Configured in Custom Policy」を選択し、 「サインオン・ルールの編集」を選択します。 ※既にサインオンポリシー「Security Policy for OCI Console」を変更している場合には本手順は必要ありません。
  13. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 16 11) 続けてSecurity Policy for OCI Consoleの画面にて、サインオン・ルール「MFA for all users」の編集マークを開き、 「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。
  14. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 17 12) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「サインオン・ルールの編集」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。
  15. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 18 13) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの画面にて、「サインオン・ルールの追加」選択します。 確認画面で「続行」を選択します。
  16. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 19 14) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 : チェックONにする 「サインオン・ルールの追加」を選択します。
  17. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 20 15) Security Policy for OCI Consoleの画面にて、サインオン・ルールの優先度が下記になっていることを確認します。 1.MFA for administrators 2.MFA for all users 3.上記で新規作成したルール(例:Not Internal NW)
  18. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 21 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。
  19. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 22 【社内NW+管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。
  20. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 23 【社内NW+一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。
  21. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 24 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。