自分用メモです
Oracle Cloud Infrastructure (OCI) の2024 Architect Associate (1Z0-1072-24-JPN) 試験に関連する用語のうち、なかなか覚えられないものをいくつかピックアップして記事にします。
アウトプットの形にすることで記憶定着を図る目的ですので、ご了承ください。
- OCI機密コンピューティング
- FSSのアクセス制御の4つのレイヤー
- サイト間VPNとVCNピアリングの違い
- インスタンス・プリンシパル
1. OCI機密コンピューティング
概要
OCI機密コンピューティングは、データの暗号化と隔離を強化する技術です。特に機密インスタンス(Confidential Instance)として提供され、仮想マシン(VM)やベアメタル・インスタンス上で動作します。この仕組みにより、データは処理中も暗号化された状態を維持し、不正アクセスや改ざんから保護されます。
データがメモリ内でも暗号化された状態で処理されることを可能にします。そのため、ハイパーバイザーやホストOSからもデータを覗き見ることはできません。
ユースケース
機密性の高いワークロード(例: 金融データ処理)では、データの安全性を保証するために機密コンピューティングが活用されます。特に、クラウド環境におけるデータ漏洩リスクを抑えたい場合に有効です。
2. FSSのアクセス制御の4つのレイヤー
OCIのFile Storage Service(FSS)では、アクセス制御が4つのレイヤーに分かれています。これにより、異なるレベルでセキュリティを強化できます。
① NFS v3 UNIXセキュリティ
- ユーザーID(UID)とグループID(GID)を用いた従来のUNIX型アクセス制御。
-
chmodやchownを使用して、アクセス権限を設定可能。
② OCI IAMポリシー
- OCIのIAMを活用し、FSSへのアクセス権限を管理。
- 例:
allow group Developers to read file-systems in tenancyにより、特定のグループに読み取り権限を付与。
③ NFSエクスポート・オプション
- 指定したIPアドレス範囲のホストに対し、読み取り専用(ro)または読み書き(rw)権限を付与可能。
④ ネットワーク・セキュリティ
- VCNのセキュリティリストやネットワークセキュリティグループ(NSG)を利用し、特定のサブネットやポート(例: TCP 2049)へのアクセスを制御。
この4層のセキュリティを組み合わせることで、セキュリティの冗長性を確保し、安全なファイルストレージ環境を実現できます。
3. サイト間VPNとVCNピアリングの違い
「サイト間VPN」と「VCNピアリング」の違いを整理します。
サイト間VPN
- 用途: オンプレミスネットワークとOCIを接続するために利用。
- 技術: IPSec VPN(IKEv1/v2)。
- パフォーマンス: 帯域幅はインターネット経由のため、数百Mbps程度が一般的。
VCNピアリング
- 用途: OCI内の2つのVCNをプライベート接続するために利用。
- 技術: OCI内部のプライベートIP通信を使用。
- パフォーマンス: 同一リージョン内ではGbps級の通信が可能。
どちらを選ぶべきか?
- オンプレミス ⇔ OCI の接続が必要 → サイト間VPN
- OCI内のVCN同士を安全に接続 → VCNピアリング
※このほかにfastconnectもある(高速、低レイテンシ、専用線でオンプレ環境と接続)
4. インスタンス・プリンシパル
概要
OCIのインスタンス・プリンシパルは、コンピュート・インスタンスにIAMのアイデンティティを付与し、OCIの他のリソース(Object Storageなど)へセキュアにアクセスできる仕組みです。
実装方法
-
動的グループを作成(例:
instance-group) -
IAMポリシーを設定(例:
allow dynamic-group instance-group to read object-family in tenancy) - インスタンスから認証トークンを取得し、APIを実行
利点
- セキュリティ向上: APIキーをインスタンスに保存せずに済む。
- 運用の効率化: 各インスタンスのアクセス管理が簡単になる。
特に、オートスケーリング環境でのストレージアクセスに適しており、安全かつ柔軟な認証方式として活用できます。