https://www.oracle.co.jp/campaign/moderncloudday/2019/ Oracle Cloud Infrastructureで抑えておくべき基本サービスである、ユーザーや権限の管理、テナントの使用状況の監視などについて、開発部門の製品担当者が直接解説します。

1. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
Oracle Cloud Infrastructure
基本サービス入門(2)
Karan Batta
Director, Product Management
Taylor Newill
Senior Manager, Product Management
Usman Khan
Senior Manager, Product Management
ユーザー管理 / ガバナンス（テナント管理）
1

2. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する
ものです。また、情報提供を唯一の目的とするものであり、いかなる
契約にも組み込むことはできません。以下の事項は、マテリアルや
コード、機能を提供することをコミットメント（確約）するものでは
ないため、購買決定を行う際の判断材料になさらないで下さい。オラ
クル製品に関して記載されている機能の開発、リリースおよび時期に
ついては、弊社の裁量により決定されます。
2
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。

3. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
第２世代クラウド・セキュリティ
Deeper Isolation
From Other
Customers
Data Encryption
End to End
Network
Protection
Verifiable
Security

4. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
他のユーザーからのより深い分離
Data Encryption
End to End
Network
Protection
Verifiable
Security
• Bare Metal
• プライベート Off Box 仮想ネットワーク
• Exadata

5. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
データ暗号化、End-to-End
Deeper Isolation
From Other
Customers
Network
Protection
Verifiable
Security
• データは常に暗号化 (Object, File,
Block, Databaseに関わらず）
• 完全に暗号化されたグローバル・
バックボーン – データがデータセ
ンター内にある場合は、暗号化さ
れる

6. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
ネットワーク保護
Deeper Isolation
From Other
Customers
Data Encryption
End to End
Verifiable
Security
• セキュリティ・リスト + プライベート・サブネット
• Load Balancer
• IPSec VPN + FastConnect
• South/Northルーティング – カスタムMiddlebox

7. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
検証可能なセキュリティ
Deeper Isolation
From Other
Customers
Data Encryption
End to End
Network
Protection
• 強力なコンプライアンス
• Audit Log

8. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
• 鍵の作成、ライフサイクルに渡る管理により、センシティブ・
データを保護
• 改竄防止のためのHardware Security Module (HSM)の使用
• FIPS コンプライアンス
• マルチおよびヘテロ・ハイブリッド・クラウド環境のための鍵
管理
Key Management Service

9. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
• Oracle Cloud InfrastructureでのネイティブCASB サポート
• クラウド・スタック全体にわたる自動化された脅威検出
• 予測分析およびインシデント・レスポンス、セキュリティ構
成管理
Cloud Access Security Broker

10. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
• 全てのOracle Cloud Infrastructureベースのアプリケー
ションを保護
• Webアプリへの全てのトラフィックを監視、あらゆる不正
トラフィックを特定およびブロック
Web Application Firewall

11. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
• 自動化されたDDoSアタック検出および大規模レイヤー
3/4 アタックの緩和
• アタック中でもネットワーク・リソースの可用性を確
• 必要なサービスについては接続を維持、その他はロック
アウト
Distributed Denial of Service
Protection & Private Service/NAT
Gateways

12. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
27001 : 27017 :
27018
Level 1
コンプライアンス
(全てのリージョン、
全てのサービス)
EXTENSIVE LIST OF ACCREDIDATIONS
BSI C5

13. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
業界初の"End-to-End" Cloud Infrastructure保証
AVAILABILITY Covered Covered Covered Covered
PERFORMANCE Covered No coverage No coverage No coverage
MANAGEABILITY Covered No coverage No coverage No coverage
AWS Azure GCP

14. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. | 1414
User Management

15. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
Identity and Access Management (IAM)
• OCI ユーザー・セキュリティ(User Security)
– IAM User Authentication
– Policy based Access control
• 複雑なルールもポリシーにより簡単に定義
– 誰が、どのリソースに、どんな権限でアクセスまたは
使用できるか
• 組織構造にも対応
– グループ(Group) - 複数のユーザー
– コンパートメント (Compartment) – 複数のリソース
Confidential – Oracle Internal/Restricted/Highly Restricted 15
Tenancy
CompartmentA CompartmentB
Groups
GroupX
Users
User1
User2
Policies
PolicyA: allow group GroupX to manage all-
resources in compartment CompartmentA
PolicyB: allow group GroupY to manage all-
resources in compartment CompartmentB
PolicyA PolicyB
Object Storage
Buckets
VCN Compute
Instances
Block
Volumes
Load
Balancers

16. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
• ポリシー(Policy)によって、どのグループがどのリソースに対してどんな権限があるかを定義
• ポリシーは以下のフォーマットで定義:
• コンパートメントを指定してポリシーを適用可能
権限付与( Authorization)
Allow group <group_name> to <verb> <resource-type> in tenancy
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> [where <conditions>]

17. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
コンパートメント(Compartment)
• コンパートメント: OCIリソースのコレクション (VCN,
instances,..)
• アクセス権限を持っているグループのもコンパートメント
内のリソースにアクセス可能
• コンパートメントの利点
• リソースへのアクセスを管理/制御可能
• 部署やプロジェクト間でのアクセスの分離が可能
（部署やプロジェクトに対してコンパートメントを作成）
• コンパートメント単位でリソース使用量の目安の定義
• コンパートメント単位でリソース使用状況を監視
Tenant
Compartment A Compartment B
Users Groups Policy
Policy Policy
Create a compartment for a department
Group-A
Compartment
Compartment C Compartment D
Policy Policy
Group-A
Group-c Group-D

18. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
例: コンパートメント
• Compartment: NetworkInfra
• Critical network infrastructure centrally managed by network admins
• Resources: top level VCN, Security Lists, Internet Gateways, DRGs
• Compartment: Dev, Test, Prod Networks
• Modeled as a separate compartment to easily write policy about
who can use the network
• Resources: Subnets, Databases, Storage(if shared)
• Compartment: Projects
• The resources used by a particular team or project; separated for the
purposes of distributed management
• Resources: Compute Instances, Databases, Block Volumes, etc.
• There will be multiple of these, one per team that needs it's own DevOps
environment

19. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
フェデレーション(Federation)
• Security Assertion Markup Language(SAML) 2.0を使用したフェデレーションをサポート
• Oracle IDS
• Microsoft Active Directory
• その他のIdentity Provider
IDCSによる認証
OCI IAMによる認証 OCIコンソール画面
IDCSユーザー
/パスワード
IDCSユーザー/
パスワード

20. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. | 2020
Tagging

21. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
タギング(Tagging)
OCIリソースに対して任意のタグを付与し、リソースを管理
• 任意のタグを付与可能
• キー、バリューを指定
• ネームスペースを作成可能
• ポリシーでタグを使用可能

22. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
タグ・ネームスペース
• タグ・ネームスペースは、タグをまとめるコンテナのようなもの。
Namespace Definition: Operations
Key Definition: Environment
Tag
Operations.Environment = “Production”
Namespace Key Value

23. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |
コンパートメント(Compartments)
– Best used for: Setting permission boundaries. Also
good for project, department, and environment
boundaries.
– Logical container each resource is in exactly one
compartment; used for isolation
– Compartments are hierarchical and are best for
creation permission boundaries. A parent
compartment’s policy is inherited by child
compartments
– Compartments are global; distinct from physical
containers like Regions and Availability Domains
– Resources can be connected/shared across
compartments
– Cost Attribution: Can sub total costs per
compartment.
タグ(Tags)
– Best used for: cost attribution & assigning multiple
dimensions of meta data
– Tags are metadata attached to resources; used to
add contextual information about a resource. A
resource can have many tags.
– Defined Tags specify a key name and allow any
value. Better than free form tags.
– Tag Namespaces allow you to group Defined Tags for
access control and are global across the tenancy.
• Best practice: use one namespace for budgeting, one
namespace for ops ownership, etc.
– Cost Attribution: Use a tag to track costs for project
that span compartments and for job based
chargeback. Be aware that multiple cost control
tags can lead to double counting.
Confidential – Oracle Restricted 23
Organizing Tools: コンパートメント & タグ

24. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. | 24
Oracle Digitalは、オラクル製品の導入をご検討いただく際の総合窓口。
電話とインターネットによるダイレクトなコミュニケーションで、どんなお問い合わせにもすばやく対応します。
もちろん、無償。どんなことでも、ご相談ください。

25. Copyright © 2019, Oracle and/or its affiliates. All rights reserved. |