目次
はじめに
こんにちは、エーピーコミュニケーションズの松尾です。
今回は、OCIコンソールログイン時に特定のユーザだけMFAを除外させる設定を紹介します。デフォルトでは全てのユーザにMFAが有効になっています。
Administartor権限のユーザにはMFAを当てておきたいけど、読み取り専用ユーザはMFA無くても良い、など、MFAが無い方が都合が良い場面もあるかと思いますので、状況に合わせて活用していただければと思います!
この記事で分かること
- OCIのサインインポリシーで特定ユーザのみMFAを除外する設定方法
- サインインポリシーの設定方法
デフォルトのサインインポリシー設定を確認
最初にサインインポリシーの全体像の確認です。
OCIでは「アイデンティティ・ドメイン」という単位でユーザやグループ設定、サインインポリシーなどが分離しているため、特定のアイデンティティ・ドメインごとにサインインポリシーが独立している形となります。
アイデンティティ・ドメインはコンパートメントに紐づいています。今回のサインインポリシーの検証を行うのはデフォルトのアイデンティティ・ドメイン(Default)とは別のものを用意することをお勧めします。もし設定を間違えてしまってもOCI Consoleへ正常にログイン出来る手段を残しておくと安全なためです。
サインインポリシーの設定はドメイン選択から「セキュリティ」をクリック。
「サインインポリシー」から詳細を確認できます。
「Security Policy for OCI Console」はOCIコンソールログイン時に適用されるポリシー、「Default Sign-On Policy」はそれ以外のログイン時に適用されるポリシーとなっています。
「User Category Based Sign-On Policy」はユーザがカスタムで統合アプリケーションを設定する用途のようです。
「Security Policy for OCI Console」の詳細を見てみると、サインオンルールではadministratorとそれ以外のユーザへMFAを強制するルールが2つ、
適用されるのは「OCI Console」であることが分かります。
サインインポリシー設定を追加
「サインオン・ルールの追加」からMFAを強制しないルールを追加していきます。
デフォルト設定から初めてルールを変更する際、このような警告メッセージが表示されます。内容を確認して先へ進めます。
point!
警告メッセージにあるとおり、設定に失敗するとユーザがログイン出来なくなる可能性があります。サインインポリシーを変更するアイデンティティドメインは検証用として、それとは別に確実にログイン出来るアイデンティティドメインを残しておくことを推奨します。
ルール名を設定、
アクションで「追加ファクタの要求」にチェックを入れない状態でルールを作成します。
ルールが追加された状態。
この状態で、例えば読み取り権限のユーザがOCI Consoleへログインしようとすると優先度2のルールが適用されるため、優先度2のルールから特定のユーザを除外していきます。
サインオン・ルールの編集をクリック。
MFAを除外したいユーザを設定して保存します。
この状態で除外したユーザでOCI Consoleへログインすると、MFAは強制されずにログインすることができます。
まとめ
簡単ですがサインインポリシーを設定して特定のユーザのみMFA除外させてみました。
デフォルトでは全てのユーザがMFA有効となっていますが、状況に応じてMFAを除外することも使い分けていただければと思います。ただし、MFA除外することはセキュリティレベルとしては低下するため、使いどころには要注意です。
おわりに
私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。
また、一緒に働いていただける仲間も募集中です! ご興味持っていただけましたらぜひお声がけください。
