Arrendamiento y compartimientos de IAM
Descubra cómo utilizar los compartimentos para mejorar la seguridad, así como recomendaciones para gestionar los administradores de un arrendamiento.
- Los compartimentos son exclusivos de IAM y ofrecen un mecanismo que permite a un cliente de empresa satisfacer sus necesidades fundamentales con un único arrendamiento o cuenta. Este único arrendamiento o cuenta proporciona un control y visibilidad centrales completos y, al mismo tiempo, permite subdividir la cuenta o el arrendamiento para satisfacer las necesidades de los equipos constituyentes, los proyectos y las iniciativas.
- Por motivos de seguridad y gobernanza, los usuarios solo deben tener acceso a los recursos que necesitan. Por ejemplo, los usuarios de empresa que trabajan en un proyecto o que pertenecen a una unidad de negocio deben tener acceso solo a los recursos que pertenecen al proyecto o la unidad de negocio. Los compartimentos proporcionan un mecanismo eficaz para agrupar recursos de arrendamiento según sus privilegios de acceso y autorizar a los grupos de usuarios para acceder a los compartimentos según sea necesario. En el ejemplo anterior, se puede crear un compartimento para incluir todos los recursos que pertenecen a una unidad de negocio y autorizar a los miembros de la unidad de negocio para acceder al compartimento. De igual forma, el acceso de un grupo a un compartimento se puede revocar cuando ya no lo necesite.
- Tenga en cuenta lo siguiente al crear un compartimento y asignar recursos:
- Cada recurso debe pertenecer a un compartimento.
- Un recurso se puede reasignar a un compartimento distinto después de su creación. Consulte Gestión de compartimentos.
- Un compartimento se puede suprimir después de su creación. Consulte Gestión de compartimentos.
- Las etiquetas de recursos proporcionan una forma de agregar lógicamente recursos distribuidos en varios compartimentos. Por ejemplo, los recursos de arrendamiento se pueden etiquetar como
test
oproduction
según su uso. Para obtener más información sobre las etiquetas de recursos (etiquetas definidas y de formato libre), consulte Etiquetas de recursos. - Cada arrendamiento incluye un grupo de administradores por defecto. Este grupo puede realizar cualquier acción en todos los recursos de un arrendamiento (es decir, tiene acceso raíz al arrendamiento). Oracle recomienda mantener el grupo de administradores de arrendamiento lo más pequeño posible. Algunas recomendaciones de seguridad para gestionar administradores de arrendamiento:
- Configure las políticas de seguridad para que otorguen afiliación del grupo de administradores de arrendamiento estrictamente según sea necesario.
- Los administradores de arrendamiento deben utilizar contraseñas de alta complejidad, junto con MFA, y rotar periódicamente sus contraseñas.
- Después de configurar la cuenta, Oracle recomienda que no utilice la cuenta de administrador de arrendamiento para las operaciones diarias. En su lugar, cree grupos y usuarios con menos privilegios.
- Aunque las cuentas de administrador no se utilizan para las operaciones diarias, son necesarias para solucionar situaciones de emergencia que afecten el arrendamiento y las operaciones del cliente. Especifique procedimientos de acceso de emergencia seguros y auditables para utilizar cuentas de administrador en dichas emergencias.
- Desactive el acceso de administración de arrendamiento inmediatamente cuando un empleado abandone la organización.
- Puesto que se restringe la afiliación del grupo de administradores de arrendamiento, Oracle recomienda que cree políticas de seguridad que eviten el bloqueo de la cuenta del administrador (por ejemplo, si el administrador de arrendamiento abandona la compañía y ningún empleado actual dispone de privilegios de administrador).