Documentación de Oracle Cloud Infrastructure

Credenciales de IAM

Las credenciales de usuario de IAM (con contraseña de la consola, clave de firma de API, tokens de autenticación y claves secretas del cliente) otorgan acceso a los recursos. Es importante proteger estas credenciales para evitar el acceso no autorizado a recursos de Oracle Cloud Infrastructure.

Entre las directrices generales para gestionar las credenciales se incluyen:

  • Cree una contraseña segura de la consola para cada usuario de IAM, con la suficiente complejidad. Oracle recomienda lo siguiente para una contraseña compleja:

    • La contraseña debe tener como mínimo 12 caracteres.
    • La contraseña debe contener al menos una letra en mayúscula.
    • La contraseña debe contener al menos una letra en minúscula.
    • La contraseña debe contener al menos un símbolo
    • La contraseña debe contener al menos un número.
  • Rote contraseñas de IAM y claves de API de forma regular, cada 90 días o menos. Además de ser una práctica recomendada de ingeniería de seguridad, también es un requisito de conformidad. Por ejemplo, la sección 3.6.4 de PCI-DSS indica "verificar que los procedimientos de gestión de claves incluyen un período de cifrado definido para cada tipo de clave en uso y definen un proceso para los cambios de clave al final de los períodos de cifrado definidos".
  • No incluya credenciales de IAM confidenciales codificadas directamente en el software o los documentos a los que pueda acceder un público amplio. Los ejemplos incluyen código cargado en GitHub, presentaciones o documentos disponibles en Internet. Ha habido casos conocidos muy publicitados de piratas informáticos que han accedido a cuentas de clientes en la nube con credenciales que se han divulgado involuntariamente en sitios públicos. Cuando las aplicaciones de software tienen que acceder a los recursos de Oracle Cloud Infrastructure, Oracle recomienda que utilice principales de instancia. Si no es posible utilizar principales de instancia, otras recomendaciones incluyen el uso de variables de entorno de usuario para almacenar credenciales y el uso de archivos de credenciales almacenados localmente con claves de API que utilizará el SDK o la CLI de Oracle Cloud Infrastructure.
  • No comparta credenciales de IAM entre varios usuarios.
  • Al federar la conexión de consola mediante Oracle Identity Cloud Service, los clientes pueden utilizar la autenticación multifactor (MFA) para usuarios de IAM, especialmente administradores.

Al rotar claves de API, compruebe que las claves rotadas funcionan como se esperaba antes de desactivar las claves anteriores. Para obtener información sobre la generación y carga de claves de API de IAM, consulte Claves y OCID necesarios. Los pasos detallados para rotar una clave de API son:

  1. Genere y cargue una nueva clave de API.
  2. Actualice los archivos de configuración de SDK y CLI con la nueva clave de API.
  3. Verifique que las llamadas de la CLI y SDK funcionen correctamente con la nueva clave.
  4. Desactive la clave de API antigua. Utilice ListApiKeys para mostrar todas las claves de API activas.