IAM-Benutzer und -Gruppen

Erfahren Sie, wie Sie Benutzer und Gruppen für verbesserte Sicherheit effektiv verwalten können.

• Erstellen Sie einen IAM-Benutzer für alle Personen in der Kundenorganisation, die Zugriff auf Ressourcen benötigen. IAM-Benutzeraccounts sollten nicht von mehreren Benutzern gemeinsam verwendet werden, insbesondere nicht von Benutzern mit Administratoraccounts. Durch Verwendung einzelner IAM-Benutzer können Sie für jeden Benutzer die geringsten Zugriffsberechtigungen durchsetzen und die jeweiligen Aktionen in Auditlogs erfassen.
• Die empfohlene Administrationseinheit sind IAM-Gruppen, wodurch Sicherheitsberechtigungen einfacher verwaltet und verfolgt werden können (im Gegensatz zu einzelnen Benutzern). Erstellen Sie IAM-Gruppen mit Berechtigungen für häufige Aufgaben (z.B. Netzwerkadministration, Volume-Administration), und weisen Sie diesen Gruppen Benutzer je nach Bedarf zu. Mit IAM-Berechtigungen kann eine Gruppe Zugriff auf Ressourcen über mehrere Compartments in einem Mandanten hinweg erhalten.
• Prüfen Sie regelmäßig die Mitgliedschaft von IAM-Benutzern in IAM-Gruppen, und entfernen Sie IAM-Benutzer aus Gruppen, zu denen sie keinen Zugriff mehr benötigen. Gruppenmitgliedschaften zur Verwaltung des Benutzerzugriffs sind auch bei einer steigenden Zahl von Benutzern gut skalierbar.
• Deaktivieren Sie IAM-Benutzer, die keinen Zugriff auf Mandantenressourcen benötigen. Wenn Sie einen IAM-Benutzer löschen, wird er dauerhaft entfernt. Sie können einen IAM-Benutzer vorübergehend deaktivieren, indem Sie folgende Schritte ausführen:
  • Rotieren Sie das Benutzerkennwort, und löschen Sie es.
  • Entfernen Sie alle Mandantenberechtigungen des Benutzers, indem Sie die Mitgliedschaft für alle Gruppen entfernen.