Oracle Cloud Infrastructure - Dokumentation

IAM-Zugangsdaten

IAM-Benutzerzugangsdaten (Konsole, API-Signaturschlüssel, Authentifizierungstoken und Kunden-Secret-Keys) gewähren Zugriff auf Ressourcen. Sie müssen diese Zugangsdaten unbedingt schützen, um nicht autorisierten Zugriff auf Oracle Cloud Infrastructure-Ressourcen zu verhindern.

Allgemeine Richtlinien zum Umgang mit Zugangsdaten:

  • Erstellen Sie für jeden IAM-Benutzer ein sicheres Console-Kennwort mit ausreichender Komplexität. Oracle empfiehlt für ein komplexes Kennwort Folgendes:

    • Das Kennwort enthält mindestens 12 Zeichen.
    • Das Kennwort enthält mindestens einen Großbuchstaben.
    • Das Kennwort enthält mindestens einen Kleinbuchstaben.
    • Das Kennwort enthält mindestens ein Symbol.
    • Das Kennwort enthält mindestens eine Zahl.
  • Rotieren Sie IAM-Kennwörter und API-Schlüssel regelmäßig, mindestens alle 90 Tage. Dies ist nicht nur eine Best Practice in der Sicherheitstechnik, sondern auch eine Complianceanforderung. Beispiel: PCI-DSS Abschnitt 3.6.4 besagt: "Verifizieren Sie, dass Schlüsselverwaltungsverfahren eine definierte Kryptoperiode für jeden verwendeten Schlüsseltyp umfassen, und definieren Sie einen Prozess für Schlüsseländerungen am Ende der definierten Kryptoperiode(n)."
  • Vertrauliche IAM-Zugangsdaten dürfen direkt in Software oder Dokumenten, die für eine breite Zielgruppe zugänglich sind, nicht hartcodiert werden. Beispiele sind Code, der in GitHub hochgeladen wurde, Präsentationen oder im Internet verfügbare Dokumente. Es wurden Fälle bekannt, in denen Hacker auf Cloud-Accounts von Kunden mit Zugangsdaten zugriffen, die versehentlich auf öffentlichen Websites offengelegt wurden. Wenn Softwareanwendungen auf Oracle Cloud Infrastructure-Ressourcen zugreifen müssen, empfiehlt Oracle die Verwendung von Instanz-Policys. Wenn die Verwendung von Instanz-Principalen nicht möglich ist, sind andere Empfehlungen die Verwendung von Benutzerumgebungsvariablen zur Speicherung von Zugangsdaten und die Verwendung lokal gespeicherter Zugangsdatendateien mit API-Schlüsseln, die vom Oracle Cloud Infrastructure-SDK oder der Oracle Cloud Infrastructure-CLI verwendet werden können.
  • IAM-Zugangsdaten dürfen nicht von mehreren Benutzern gemeinsam verwendet werden.
  • Wenn Sie die Konsolenanmeldung über Oracle Identity Cloud Service föderieren, können Kunden die Multifaktor-Authentifizierung (MFA) für IAM-Benutzer verwenden, insbesondere Administratoren.

Stellen Sie beim Rotieren von API-Schlüsseln sicher, dass die rotierten Schlüssel wie erwartet funktionieren, bevor Sie ältere Schlüssel deaktivieren. Informationen zum Generieren und Hochladen von IAM-API-Schlüsseln finden Sie unter Erforderliche Schlüssel und OCIDs. Allgemeine Schritte beim Rotieren eines API-Schlüssels:

  1. Generieren Sie einen neuen API-Schlüssel, und laden Sie ihn hoch.
  2. Aktualisieren Sie die SDK- und CLI-Konfigurationsdatei mit dem neuen API-Schlüssel.
  3. Verifizieren Sie, ob die SDK- und CLI-Aufrufe ordnungsgemäß mit dem neuen Schlüssel funktionieren.
  4. Deaktivieren Sie den alten API-Schlüssel. Mit ListApiKeys können Sie alle aktiven API-Schlüssel auflisten.