※ 本記事は、Ritesh Kumariによる”Announcing Support for IAM Deny Policies in the OCI IAM“を翻訳したものです。

2026年2月24日

OCIのゼロ・トラストへの取り組みにおける最新のマイルストーンとして、Oracle Cloud Infrastructure (OCI)はIAM Denyポリシーを導入し、一般提供を開始しました。OCIのゼロ・トラスト・イニシアチブの一環として、IAM DenyはIAMに明示的な拒否ステートメントを追加します。これは、顧客が最小限の権限を適用し、アクセス・パスを制御し、大規模なマルチコンパートメント環境全体でセキュリティ境界を強化することを容易にするように設計されています。複雑なテナンシを管理する企業向けに調整されたIAM Denyは、ポリシー管理の合理化、セキュリティ体制の強化、コンプライアンスの取り組みの簡素化を支援します。このブログでは、IAM Denyの機能と、より安全なクラウド操作の実現に対する影響について考察します。

複雑なアクセス制御ニーズへの対応

これまで、OCI IAMは、多くのアクセス・シナリオでうまく機能しているデフォルト拒否モデルで許可ポリシーを使用してきました。しかし、グローバルな運用、複数リージョンのデプロイメント、およびポリシーの管理と責任の委任を管理する大規模な管理チームが成長するにつれて、ますます複雑になる可能性があります。

IAM Denyは、許可ポリシーよりも優先される明示的な拒否ステートメントを導入し、組織が明確で強制可能なアクセス境界を定義できるようにします。これにより、ポリシーを管理してテナンシ全体のガードレールを確立しながら、子コンパートメントのポリシーを管理できるユーザーにポリシー管理を安全に委任できるユーザーが強化され、最もセキュリティに配慮した環境でも強力でスケーラブルなアクセス制御が可能になります。

IAM Denyの主なメリットは次のとおりです:

  • より強いガードレール: ルート管理者は、テナンシ全体の広範な制限を設定して、セキュアなベースラインを確立できます。
  • 委任の強化: ルート管理者は、ターゲットとする制限(たとえば、コンパートメントProjectX内のネットワーク・ファミリを管理するDenyグループDevOps)を適用しながら、特定のリソースを介して子コンパートメントの自律性でポリシーを管理できるユーザーに付与し、制御を柔軟に分散できます。
  • ポリシー管理の簡素化: Denyポリシーにより、許可文での複雑な除外の必要性がなくなります。これらを使用しない場合、管理者は、特定のサービス、操作またはネットワーク(大規模な環境では面倒でエラーが発生しやすいタスク)をブロックするポリシーをそれぞれ許可する複数のwhere句を追加する必要があります。Denyルールは、よりクリーンで信頼性の高い方法で、制限を適用し、コンパートメント管理者による偶発的なアクセスまたは上書きを防止します。
  • 監査性の向上: 明示的な拒否ルールにより、権限をより明確かつ簡単に監視できるようになり、セキュリティ・チームがインシデントに迅速に対応し、コンプライアンスの取組みをサポートできるようになります。
  • 一貫した規制コンプライアンス: Denyステートメントは、内部ポリシーや外部のセキュリティ規制への準拠を簡素化するために設計された、インターネットなどの不正なネットワークからのアクセスを制限するなど、組織の境界を均一に強制します。

これらの機能強化により、IAM Denyはすべての組織にとって価値があり、特にポリシーの明確性、委任制御および運用効率が不可欠な規制環境で運用している組織にとって重要です。

IAM Denyの機能

IAM Denyは、使い慣れた構文を使用して、OCI IAMポリシー・エディタにシームレスに統合されます:

Deny <subject> to <metaverb> <resource-type> in <scope> [where <conditions>]

既存のメタ動詞(管理、使用、読取り、検査)を減算権限階層で使用し、そのレベルのみをブロックする上位レベルの権限(管理など)を否定し、より低い権限(読取り、検査など)を保持します。主な機能は次のとおりです:

  • Deny-First評価: Deny文は、コンパートメント階層内の許可ポリシーの前に評価されるため、ルート・レベルの制限によって子コンパートメント構成がオーバーライドされます。
  • デフォルト管理者免除: Denyポリシーは「デフォルトの管理者グループ」には適用されず、ロックアウトが防止され、ルート管理者が誤った構成を修正できるようになります。
  • 詳細な条件: 管理者は、特定のサービス、リージョンまたはリソースを的確に制御するためにターゲット指定できます。
  • クロステナンシの柔軟性: Deny文を使用すると、マルチテナンシ環境で正確な制御が可能になり、明確なアクセス境界を定義することで委任管理がサポートされます。たとえば、’Devs’グループが’PartnerTenancy’でオブジェクト・ファミリを使用するように承認すると同時に、柔軟でセキュアなクロス・テナンシ操作を可能にするように設計された同じテナンシでそのオブジェクト・ファミリを管理する機能を拒否できます。
  • ポリシー統合: 文が同じポリシー・エディタ内に共存することを拒否し、許可することで、必要に応じて複合ポリシーまたは個別ポリシーを柔軟に作成できます。

使用例

公的機関が、委任管理を使用して複数のリージョンにわたってクラウド運用を管理しているとします。次を使用することで、ストレージ管理を許可しつつネットワーク構成を保護できます:

Deny group ProjectAdmins to manage network-family in compartment GovProject

Allow group ProjectAdmins to manage object-family in compartment GovProject

これらのポリシーは、強力なセキュリティ境界を適用しながら、チームがネットワークの変更を防止しながらストレージ・アクションを許可することで、その責任を効果的に実行できるように設計されています。組織は、特定のコンパートメント内の環境をさらに保護するために、次を追加してサブ管理者が拒否ポリシーを作成できないようにすることを希望しています:

Deny group ProjectAdmins to manage policies in compartment GovProject where target.policy.type=’DENY’

さらに、これらのIP範囲のネットワーク・ソースを定義して適用することで、信頼できない外部ネットワークからのアクセスをブロックしたいと考えています:

Deny any-user to access all-resources in tenancy where request.networksource.name=’RestrictedRegion’

最後に、機密性の高い運用が承認されたリージョンでのみ行われるようにするために、次のことを実施します:

Deny group DataTeam to manage object-family in tenancy where request.region != ‘us-ashburn-1’

これらのポリシーを組み合せることで、組織はタスクを安全に委任し、ネットワークベースの制限を適用し、リージョン固有の境界を維持しながら、IAM Denyを活用して明確で予測可能で安全なアクセス制御を確保できるように設計されています。

次のステップ

IAM Denyは、OCI IAMの極めて重要な進化を表し、企業がテナンシの保護、ポリシー管理の簡素化、および規制のニーズへの容易な対応を実現できるようにしています。詳細なガイダンスについては、OCI IAMのドキュメント、FAQおよびベスト・プラクティスを参照してください。