2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Oracle Cloud: IPアドレス制限と多要素認証でコンソール・アクセス制御してみてみた

Last updated at Posted at 2022-06-22

Oracle Cloud Infrastructure (OCI) コンソールへのアクセス制御は主に次の機能を使用します。

・ネットワーク・ペリメータ
ネットワーク・ペリメータに含まれるIPアドレスのみを使用して、ユーザーがログインできるようにIAMを構成することができます。これは許可リストと呼ばれ、このIPアドレスを使用したユーザーはサインインが許可されます。

・マルチファクタ認証
ユーザーが Oracle Cloud Infrastructure にサインインするときに、最初の要素(ユーザーが知っているもの)であるユーザー名とパスワードの入力が求められます。その後ユーザーは、登録された MFA デバイスに 2番目の検証コードを提供するよう求められます。

ということで、OCI コンソールに「IPアドレス制限」と「MFA(多要素認証)」アクセス制限を設定してみてみます。

■ IPアドレス制限設定

● OCIコンソール画面

[アイデンティティとセキュリティ] > [ドメイン]をクリック
01_OCIコンソール01.jpg

● ドメイン画面

[Default(現在のドメイン)]をクリック
02_Domain01.jpg

● Defaultドメイン画面

アイデンティティ・ドメイン項目にある[セキュリティ]をクリック
02_Domain02.jpg

● ネットワーク・ペリメータの作成画面

「セキュリティ」項目から[ネットワーク・ペリメータ]を選択
03_NWベリメータ01.jpg

● ネットワーク・ペリメータの作成画面

[ネットワーク・ベリメータの作成]をクリックし、次の項目を設定し、[作成]をクリック

・名前: ネットワーク・ペリメータの名前を入力
・IPアドレス: ネットワーク・ペリメータの単一または複数の正確なIPアドレス、IP範囲、またはマスクされたIPアドレスの範囲を入力

03_NWベリメータ02.jpg

・ファクタ: ユーザーに選択させる各要素を選択
・登録されるファクタの最大数: ユーザーが構成できるファクタの最大数を設定
・信頼できるデバイスの有効化: チェックするとサインインするたびにMFAが必要になります
・MFAの最大失敗試行数: ユーザー・サインイン時の最大失敗試行数を設定

■ マルチファクタ認証(MFA)設定

● マルチファクタ認証(MFA)設定画面

「セキュリティ」項目から[MFA]を選択
次の項目を設定し、[変更の保存]をクリック

04_MFA02.jpg

■ サインオン・ポリシー追加

● サインオン・ポリシー画面

「セキュリティ」項目から[サインオン・ポリシー]を選択し、[サインオン・ルールの追加]をクリック
05_サインオンルール02.jpg

● サインオン・ルールの追加画面

次の項目を設定し、[サインオン・ルールの追加]をクリック
05_サインオンルール03.jpg

● サインオン・ルール画面

[サインオン・ルール優先度の編集]をクリック
05_サインオンルール04.jpg

● サインオン・ルール優先度の編集画面

デフォルトの[Default Sign-On Rule]を一番下に設定し、追加したルールの優先度が上にくるように編集
06_サインオンルール優先度01.jpg

■ ログイン確認

1) ログイン画面
新規ログインすると、セキュアな検証の有効化画面が表示されるので、[セキュアな検証の有効化]をクリック
11_ログイン確認01.jpg

2) デフォルトのセキュアな検証方法の選択画面
MFAで設定した認証方式がリストされるので選択してクリック
ここでは、[電子メール]を選択
11_ログイン確認02.jpg

3) 検証コード送信
検証コード送信されたので、受信を確認します。
ここでは、メールアドレスに送信されます。
11_ログイン確認03.jpg

4) 受信メール確認
受信したメールで、ワンタイム・パスコードを確認
11_ログイン確認04.jpg

5) ワンタイム・パスコード入力
コードを入力して、[電子メール・アドレスの確認]をクリック
11_ログイン確認05.jpg

6) 正常に登録されました画面
電子メール・アドレスが設定されたことを確認し、[完了]をクリック
11_ログイン確認06.jpg

7) OCIコンソールログイン完了
11_ログイン確認07.jpg

■ ログイン拒否確認

ネットワーク・ペリメータで設定したIPアドレス以外からのログインし、次の画面のようにログインできないことを確認
12_ログイン拒否確認01.jpg

■ 参考

ネットワーク・ペリメータの管理
マルチファクタ認証の管理

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?