Seguridad

Cada arrendamiento de OCI incluye una cuenta de administrador que es, por defecto, un miembro del grupo Administradores del arrendamiento. El grupo Administradores otorga acceso completo a todo el arrendamiento. Por este motivo, se recomienda no utilizar la cuenta de administrador para la administración diaria del arrendamiento.

La mejor práctica es reservar el grupo Administradores para escenarios de emergencia. A los administradores individuales se les pueden otorgar permisos para gestionar sus respectivas áreas sin que ninguna persona tenga acceso completo a todo el arrendamiento.

A medida que las instancias de Identity Cloud Service se convierten en parte nativa de OCI, los miembros del grupo Administradores tienen acceso completo para gestionar los dominios de identidad de IAM. Esto no significa que los administradores actuales de Identity Cloud Service tengan privilegios administrativos en las cuentas de OCI.

Confirme que el uso del grupo Administradores es coherente con las políticas de seguridad de su organización.

En algunos casos, se agrega un grupo denominado OCI_Administrators a la instancia de IDCS que se ha proporcionado durante la creación del arrendamiento (normalmente denominado IdentityCloudService). Este grupo se asigna al grupo Administradores del dominio de identidad por defecto, que no tiene usuarios asignados en el momento de la creación. Si desea que los usuarios tengan acceso completo a todo el arrendamiento, puede agregarlos al grupo OCI_Administrators en IdentityCloudServicedomain.

Cualquier usuario con el rol de administrador del dominio de identidad tiene privilegios administrativos para ese dominio de identidad. La mejor práctica es que el administrador del dominio de identidad cree otros administradores (o, por ejemplo, un administrador de usuario) con el juego mínimo de responsabilidades de administración que necesitan para realizar sus tareas. Consulte Understanding Administrator Roles.

Los roles de administrador están en el ámbito de un dominio de identidad específico. Por ejemplo, un administrador de usuario para DomainB solo puede gestionar usuarios en DomainB y no puede gestionar usuarios en DomainA.

A diferencia de los roles de administrador, las políticas se aplican a los compartimentos del arrendamiento. Por ejemplo, si a un usuario del grupo foo de DomainA se le proporciona una política como:

allow group DomainA/foo to manage users in tenancy

Esto proporciona al usuario esos privilegios en todo el arrendamiento.

En los dominios de identidad, la configuración de autenticación de IAM que se utiliza para definir reglas de contraseña ahora forma parte de las políticas de contraseñas. Puede definir varias políticas de contraseñas y asignarlas a diferentes grupos. Consulte Gestión de políticas de conexión.

Si ha utilizado orígenes de red para especificar un juego permitido de direcciones IP desde el que los usuarios pueden realizar determinadas acciones, como conectarse a la consola, con dominios de identidad, puede utilizar perímetros de red para hacer lo mismo. Consulte Managing Network Perimeters.

1. Antes de migrar Identity Cloud Service, anote los orígenes de red que utiliza, por ejemplo, my-allow-list 140.160.240.0/24.
2. Una vez que su arrendamiento se haya migrado, cree perímetros de red con las mismas direcciones IP. Consulte Creación de un perímetro de red.
3. Cree políticas que hagan referencia a los nuevos perímetros de red, como una política de conexión o una política de proveedor de identidad.

Si ha estado utilizando la política de conexión por defecto para proteger la consola de Identity Cloud Service, esa política sigue aplicando reglas después de la migración.

Después de la migración, la consola de OCI está activada para su cuenta y está protegida por una nueva política de conexión denominada Política de seguridad para la consola de OCI.

Para obtener más información sobre las políticas de conexión, consulte Acerca de las políticas y reglas de conexión.