アクセス制御ポリシーの比較(AWS / Azure / OCI)
項目 AWS - IAM Policies Azure - RBAC (Role-Based Access Control) OCI - IAM Policies
基本モデル ポリシーベース ロールベース ポリシーベース(宣言的な文)
リソースの指定 ARN(Amazon Resource Name) Azure Resource Manager ID OCID(Oracle Cloud Identifier)
ポリシーの記述方法 JSONベース ロールを割り当てる形式 英語に近い文(Policy Language)
継承の仕組み 明示的継承なし(ポリシーの結合) サブスクリプション → リソースグループ コンパートメント階層で継承
きめ細かさ 非常に細かい制御が可能 やや粗めだがシンプル 中程度(きめ細かさ+可読性の両立)
一時的な権限 IAMロール + STS(AssumeRole) Azure AD Privileged Identity Management (PIM) IAM + トークン
条件付きアクセス JSON内にCondition句が書ける 条件付きアクセスポリシー(別途設定) 条件付きポリシーは限定的
ポリシーの再利用性 管理ポリシー or インライン ビルトインロール / カスタムロール リユーザブルなポリシー構文
UIでの操作 複雑だが柔軟 わかりやすいGUI CLIとGUIのバランスが良い
🔍 各クラウドの特徴的な点
✅ AWS
非常に細かく制御可能(例:S3のバケット単位、オブジェクト単位で制御)
複数のポリシーを結合できる(マネージド、インライン両方あり)
JSONで記述するため柔軟だが複雑になりがち
✅ Azure
ロールベースの設計で、初心者に優しい
定義済みロールが豊富で、必要に応じてカスタムロールを作れる
条件付きアクセスポリシーなどは Azure AD 側で制御
✅ OCI
英語に近い構文(例: Allow group Admins to manage all-resources in compartment ProjectX)で可読性が高い
コンパートメント(階層)でのアクセス制御が基本で、構成が直感的
AWSほど細かくは制御できないが、現場運用に丁度いい粒度
項目 AWS CloudHSM Azure Dedicated HSM OCI Vault + HSM
FIPSレベル 140-2 Level 3 140-2 Level 3 140-2 Level 3
管理モデル 専用(顧客管理) 専用(顧客管理) 専用(Oracle提供)
基盤HSMベンダー Cavium(Marvell) Thales(Luna) Thales(Luna)
API互換性 PKCS#11, JCE, CNG PKCS#11, JCE PKCS#11 等
クラウド統合度 高(他AWSサービスと) 中(Key Vaultと分離) 高(DBとの統合が強み)
価格帯 高め 高め 中程度
📝 まとめ
AWS CloudHSM:クラウド統合が強く、HSMの柔軟な操作が可能。
Azure Dedicated HSM:フルコントロールが必要なMicrosoft環境向け。
OCI Vault + HSM:Oracle製品との親和性が高く、特にDB中心の利用に強い。