Oracle Cloud Infrastructure (OCI) コンソールへのアクセス制御は主に次の機能を使用します。
・ネットワーク・ペリメータ
ネットワーク・ペリメータに含まれるIPアドレスのみを使用して、ユーザーがログインできるようにIAMを構成することができます。これは許可リストと呼ばれ、このIPアドレスを使用したユーザーはサインインが許可されます。
・マルチファクタ認証
ユーザーが Oracle Cloud Infrastructure にサインインするときに、最初の要素(ユーザーが知っているもの)であるユーザー名とパスワードの入力が求められます。その後ユーザーは、登録された MFA デバイスに 2番目の検証コードを提供するよう求められます。
ということで、OCI コンソールに「IPアドレス制限」と「MFA(多要素認証)」アクセス制限を設定してみてみます。
■ IPアドレス制限設定
● OCIコンソール画面
[アイデンティティとセキュリティ] > [ドメイン]をクリック
● ドメイン画面
● Defaultドメイン画面
アイデンティティ・ドメイン項目にある[セキュリティ]をクリック
● ネットワーク・ペリメータの作成画面
● ネットワーク・ペリメータの作成画面
[ネットワーク・ベリメータの作成]をクリックし、次の項目を設定し、[作成]をクリック
・名前: ネットワーク・ペリメータの名前を入力
・IPアドレス: ネットワーク・ペリメータの単一または複数の正確なIPアドレス、IP範囲、またはマスクされたIPアドレスの範囲を入力
・ファクタ: ユーザーに選択させる各要素を選択
・登録されるファクタの最大数: ユーザーが構成できるファクタの最大数を設定
・信頼できるデバイスの有効化: チェックするとサインインするたびにMFAが必要になります
・MFAの最大失敗試行数: ユーザー・サインイン時の最大失敗試行数を設定
■ マルチファクタ認証(MFA)設定
● マルチファクタ認証(MFA)設定画面
「セキュリティ」項目から[MFA]を選択
次の項目を設定し、[変更の保存]をクリック
■ サインオン・ポリシー追加
● サインオン・ポリシー画面
「セキュリティ」項目から[サインオン・ポリシー]を選択し、[サインオン・ルールの追加]をクリック
● サインオン・ルールの追加画面
● サインオン・ルール画面
● サインオン・ルール優先度の編集画面
デフォルトの[Default Sign-On Rule]を一番下に設定し、追加したルールの優先度が上にくるように編集
■ ログイン確認
1) ログイン画面
新規ログインすると、セキュアな検証の有効化画面が表示されるので、[セキュアな検証の有効化]をクリック
2) デフォルトのセキュアな検証方法の選択画面
MFAで設定した認証方式がリストされるので選択してクリック
ここでは、[電子メール]を選択
3) 検証コード送信
検証コード送信されたので、受信を確認します。
ここでは、メールアドレスに送信されます。
4) 受信メール確認
受信したメールで、ワンタイム・パスコードを確認
5) ワンタイム・パスコード入力
コードを入力して、[電子メール・アドレスの確認]をクリック
6) 正常に登録されました画面
電子メール・アドレスが設定されたことを確認し、[完了]をクリック
■ ログイン拒否確認
ネットワーク・ペリメータで設定したIPアドレス以外からのログインし、次の画面のようにログインできないことを確認