Oracle Cloud Infrastructure - Dokumentation

IAM-Mandant und Compartments

Erfahren Sie, wie Sie mit Compartments die Sicherheit verbessern, sowie Empfehlungen zur Verwaltung der Administratoren eines Mandanten.

  • IAM-spezifische Compartments bieten ein Verfahren, mit dem Unternehmen ihre zentralen Anforderungen erfüllen können, indem sie einen einzelnen Account oder Mandanten nutzen. Dieser einzelne Account oder Mandant bietet vollständige zentrale Kontrolle und Transparenz und kann außerdem aufgeteilt werden, um die Anforderungen einzelner Teams, Projekte und Initiativen zu erfüllen.
  • Aus Sicherheits- und Governance-Gründen sollten Benutzer nur Zugriff auf die benötigten Ressourcen haben. Beispiel: Unternehmensbenutzer, die an einem Projekt arbeiten oder zu einer Geschäftseinheit gehören, sollten nur Zugriff auf Ressourcen haben, die zu diesem Projekt oder dieser Geschäftseinheit gehören. Compartments bieten ein effektives Verfahren, um Mandantenressourcen basierend auf ihren Zugriffsberechtigungen zu gruppieren und Benutzergruppen nach Bedarf für den Zugriff auf das Compartment zu autorisieren. Im obigen Beispiel kann ein Compartment so erstellt werden, dass es alle Ressourcen einschließt, die zu einer Geschäftseinheit gehören, und nur Mitglieder der Geschäftseinheit für den Zugriff auf das Compartment autorisiert. Ebenso kann der Zugriff einer Gruppe auf ein Compartment widerrufen werden, wenn sie ihn nicht mehr benötigt.
  • Beachten Sie Folgendes, wenn Sie ein Compartment erstellen und Ressourcen zuweisen:
    • Jede Ressource muss zu einem Compartment gehören.
    • Eine Ressource kann nach dem Erstellen einem anderen Compartment zugewiesen werden. Siehe Compartments verwalten.
    • Ein Compartment kann nach dem Erstellen gelöscht werden. Siehe Compartments verwalten.
  • Mit Ressourcentags können Ressourcen, die über mehrere Compartments verteilt sind, logisch aggregiert werden. Beispiel: Mandantenressourcen können je nach Verwendung mit dem Tag test oder production versehen werden. Weitere Informationen zu Ressourcentags (Freiform- und definierte Tags) finden Sie unter Ressourcentags.
  • Jeder Mandant hat eine Standardadministratorgruppe. Diese Gruppe kann für alle Ressourcen in einem Mandanten jede beliebige Aktion ausführen (d.h. sie hat Root-Zugriff auf den Mandanten). Oracle empfiehlt, die Gruppe der Mandantenadministratoren so klein wie möglich zu halten. Einige Sicherheitsempfehlungen zum Verwalten von Mandantenadministratoren:
    • Mit Sicherheits-Policys wird die Mitgliedschaft bei der Mandantenadministratorgruppe ausschließlich bei Bedarf gewährt.
    • Mandantenadministratoren sollten sehr komplexe Kennwörter sowie MFA verwenden und Ihre Kennwörter regelmäßig rotieren.
    • Nachdem der Account eingerichtet und konfiguriert wurde, empfiehlt Oracle, den Mandantenadministratoraccount nicht für alltägliche Vorgänge zu verwenden. Erstellen Sie stattdessen Benutzer und Gruppen mit geringeren Berechtigungen.
    • Auch wenn Administratoraccounts nicht für alltägliche Vorgänge verwendet werden, sind sie dennoch zur Lösung von Notfallszenarien erforderlich, die sich auf Kundenmandanten und -vorgänge auswirken. Legen Sie sichere und auditierbare Verfahren für den Notfallzugriff fest, um Administratoraccounts in solchen Notfällen verwenden zu können.
    • Deaktivieren Sie den Administrationszugriff auf Mandanten sofort, wenn ein Mitarbeiter die Organisation verlässt.
    • Da die Mitgliedschaft bei der Mandantenadministratorgruppe eingeschränkt ist, empfiehlt Oracle, Sicherheits-Policys zu erstellen, die eine Administratoraccountsperre verhindern (z.B. wenn der Mandantenadministrator das Unternehmen verlässt und kein aktueller Mitarbeiter über Administratorberechtigungen verfügt).