はじめに
従来のアイデンティティ・ドメインを使用しないIAMの場合、IPアドレスによる接続制限を行う場合、 認証ポリシーでのネットワーク・ソース制限の作業 に記載されているように、ネットワーク・ソースを作成し、認証設定ページで設定する必要がありました。
しかし、アイデンティティ・ドメインを使用するIAMに変更されてからは、認証設定ページが無くなってしまったため、ネットワーク・ソースを使用したIP制限ができなくなってしまいました。
そのため、今回はネットワーク・ペリメータを使用してOracle Cloudコンソールにアクセス可能なIPアドレスを制限してみました。
ネットワーク・ペリメータはサインオン・ポリシーを併用設定することで、あらかじめ許可するIPアドレスからのアクセスのみに制限することが実現可能となります。
ネットワーク・ペリメータとは
IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータは、今回のようにユーザがサインインに使用できるIPアドレスを制限すること、または設定したIPアドレスを拒否することが可能です。
詳しくはこちらをご覧ください。
構成のイメージ図
ネットワーク・ペリメータの作成
1.Oracle Cloudコンソールにログインします。ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。[アイデンティティ]で、[ドメイン]をクリックし、アイデンティティ・ドメインの名前をクリックします。ネットワーク・ペリメータはドメインごとに作成可能で、今回はDefault ドメインに作成をします。
2.[セキュリティ]、[ネットワーク・ペリメータ]の順にクリックし、[ネットワーク・ペリメータ]詳細画面で[ネットワーク・ペリメータの作成]をクリックします。
3.[ネットワーク・ペリメータの作成]画面で以下の値に設定します。設定後に[作成]をクリックします。
名前 : ネットワーク・ペリメータの任意の名前を入力
IPアドレス : Oracle Cloudコンソールにログイン許可するIPアドレスを入力
※IPアドレスにはコンマ区切りでの複数のIPアドレス指定やCIDR表記で範囲指定、ハイフン(ダッシュ)で10.10.10.1-10.10.10.10のような範囲指定もできます。
4.[ネットワーク・ペリメータ]詳細画面で新規のネットワーク・ペリメータが作成されたことを確認します。
サインオン・ポリシーの作成
1.作業するアイデンティティ・ドメインの[セキュリティ]、[サインオン・ポリシー]の順にクリックします。[サインオン・ポリシー]詳細画面で[Security Policy for OCI Console]をクリックします。
2.[Security Policy for OCI Console]詳細画面の[MFA for administrators]の右端[…]で、[サインオン・ルールの編集]をクリックします。
3.[サインオン・ルールの編集]画面で以下の値に設定します。設定後[変更の保存]をクリックします。
クライアントIPアドレスでフィルタ:次のネットワーク・ペリメータに制御します
ネットワーク・ペリメータ:作成したネットワーク・ペリメータを指定
4.[Security Policy for OCI Console]詳細画面の[MFA for all users]の右端[…]で、[サインオン・ルールの編集]をクリックします。
5.[サインオン・ルールの編集]画面で以下の値に設定します。設定後[変更の保存]をクリックします。
クライアントIPアドレスでフィルタ:次のネットワーク・ペリメータに制御します
ネットワーク・ペリメータ:作成したネットワーク・ペリメータを指定
接続確認
1.ネットワーク・ペリメータに設定したIPアドレスを使用せずにOracle Cloudコンソールに接続をすると以下の画面のようにアクセスが拒否されます。
2.次にネットワーク・ペリメータに設定したIPアドレスを使用してOracle Cloudコンソールに接続をすると以下の画面のようにアクセスが可能になりました。
まとめ
今回のブログでは、ネットワーク・ペリメータとサインオン・ポリシーを併用利用したOracle Cloudコンソールへのアクセス制限を実施しました。
ネットワーク・ペリメータでは他にもIAMグループごとに接続できるIPアドレスを制限したり、アクセスを拒否するIPアドレスを指定したりすることが可能です。
インスタンス単位で強固なセキュリティを導入してもOracle Cloudコンソールへ不正に接続ができてしまっては意味がないと考えます。
是非、この記事を参考にOracle Cloudコンソールへのアクセス制限をご検討いただければと思います。
