إدارة الهويات وأنظمة الاعتماد
يتيح لك Oracle Cloud Infrastructure Identity and Access Management التحكم في من لديه حق الوصول إلى موارد السحابة. تتضمن صلاحيات الوصول والاعتماد مفاتيح API وكلمة سر تسجيل الدخول وتسجيل الدخول الموحد ومقاطع التصديق. استخدم الصلاحيات المناسبة لحماية حسابك السحابي ومواردك. يشجعك Oracle على اعتماد التوصيات التالية عند تنفيذ إدارة الهوية في السحابة.
فرض استخدام المصادقة متعددة العوامل (MFA)
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
قصر الوصول إلى الموارد على المستخدمين الذين تم التصديق عليهم فقط من خلال كلمة سر لمرة واحدة محددة زمنيًا.
يجب طلب ذلك على مستوى المستخدم وإنفاذه على مستوى الموارد من خلال IAM. يمكنك فرض MFA لمورد في نظام الوصول الذي يسمح بالوصول إلى المورد. على سبيل المثال، يفرض النظام التالي على MFA عندما يقوم المستخدمون في
GroupA بإدارة الموارد التي تنتمي إلى عائلة الطبعة في أي مقطع.allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'عدم استخدام حساب مسئول الإيجار للعمليات اليومية
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
يجب تكوين مسئولين على مستوى الخدمة في المستأجر لزيادة الحد من الوصول الإداري. يجب على المسئولين على مستوى الخدمة إدارة موارد خدمة أو نطاق محدد فقط.
على سبيل المثال، يسمح النظام التالي للمستخدمين في مجموعة
VolumeAdmins بإدارة الموارد في مجموعة وحدات تخزين الكتل فقط.Allow group VolumeAdmins to manage volume-family in tenancyتكوين سياسات سرية لمنع إقفال حساب المسئول
مهندس معماري مؤسسي، مهندس أمان
يحدث ذلك في حالة مغادرة مسئول الإيجار لمنشأتك.
تقييد إمكانيات الإدارة لمجموعة مسئولي الاستئجار
مهندس معماري مؤسسي، مهندس أمان
يجب أن تتبع أذون المسئول قاعدة الامتياز الأقل، لذا يجب أن تقتصر العضوية في مجموعة الإشراف أو المرفق بسياسة الإشراف على أساس حسب الحاجة.
يسمح النظام التالي للمستخدمين في مجموعة UserAdmins بفحص المجموعات الموجودة في المستأجر فقط.
Allow group UserAdmins to inspect groups in tenancyمنع الحذف العرضي أو الخطأ (والتغييرات في) أنظمة الوصول
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
على سبيل المثال، يسمح النظام التالي للمستخدمين في مجموعة
PolicyAdmins فقط بتكوين أنظمة، ولكن ليس بتحريرها أو حذفها.
Allow group PolicyAdmins to manage policies in tenancy where
request.permission='POLICY_CREATE'فيدرالي Oracle Cloud Infrastructure Identity and Access Management
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
كلما كان ذلك ممكناً ومناسباً، قم بتوحيد Oracle Cloud Infrastructure Identity and Access Management مع موفر الهوية المركزي لمؤسستك (IdP).
- قم بتكوين مجموعة مسئولي الاتحاد التي يتم ربطها بمجموعة مسئولي موفر الهوية الموحد والتي يتم التحكم فيها بواسطة نفس أنظمة التأمين الخاصة بمجموعة مسئولي موفر الهوية الموحد.
- قم بتكوين مستخدم محلي وتعيين المستخدم إلى مجموعة IAM
للمسئولينالافتراضية. استخدم هذا المستخدم لسيناريوهات نوع فئة الراحة (على سبيل المثال، تعذر الوصول إلى الموارد من خلال الاتحاد). - حدد نظامًا لمنع مجموعة IAM للمسئولين الاتحاديين من تعديل عضوية المجموعة
Administratorsالافتراضية. - اكتشف الوصول والعمليات غير المصرح بها من خلال مراقبة سجلات المراجعة للعمليات بواسطة مسئولي الاستئجار والتغييرات التي تم إجراؤها على مجموعة
Administrators.
مراقبة وإدارة أنشطة وحالة كل المستخدمين
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
مراقبة وإدارة أنشطة وحالة كل المستخدمين.
- عند مغادرة الموظف للمنشأة، قم بتعطيل الوصول إلى المستأجر عن طريق حذف المستخدم على الفور.
- فرض تدوير مفاتيح API وكلمة سر المستخدم كل 90 يومًا أو أقل.
- تأكد من أن صلاحيات Identity and Access Management (IAM) غير مشفرة في أي من وثائق البرامج أو العمليات.
- قم بتكوين مستخدم IAM لكل شخص في التنظيم يحتاج إلى الوصول إلى الموارد في المستأجر. عدم مشاركة مستخدم IAM عبر مستخدمين بشريين متعددين.
- راجع المستخدمين في مجموعات IAM دوريًا، وقم بإزالة المستخدمين الذين لم يعودوا بحاجة إلى الوصول.
- قم بتغيير مفاتيح واجهة برمجة تطبيقات IAM كل 90 يومًا على الأقل لتقليل خطر التعرض للخطر.