Documentación de Oracle Cloud Infrastructure

Protección de Tagging

En este tema se proporciona información y recomendaciones de seguridad para Oracle Cloud Infrastructure Tagging.

Responsabilidades de seguridad

Para utilizar Tagging de forma segura, obtenga información sobre sus responsabilidades en materia de seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

  • Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

  • Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.

Tareas de seguridad iniciales

Utilice esta lista de control para identificar las tareas que debe realizar para proteger Tagging en un nuevo arrendamiento de Oracle Cloud Infrastructure.

Tarea Más información
Utilice políticas de IAM para otorgar acceso a usuarios y recursos Políticas de IAM
Gestionar credenciales mediante secretos confidencialidad

Políticas de IAM

Utilice políticas para limitar el acceso al etiquetado.

Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.

Asigne a un grupo los privilegios mínimos necesarios para cumplir con sus responsabilidades. Cada política tiene un verbo que describe las acciones que puede realizar el grupo. Desde la menor cantidad de acceso a la mayor cantidad de acceso, los verbos disponibles son: inspect, read, use y manage.

Recomendamos que otorgue permisos MANAGE a un juego mínimo de usuarios y grupos de IAM. Esta práctica minimiza la pérdida de datos de supresiones involuntarias por parte de usuarios autorizados o de actores maliciosos. Proporcione solo permisos MANAGE a los administradores de etiquetas.

Gestionar los espacios de nombres de etiqueta y las definiciones de etiqueta

El siguiente ejemplo permite a un usuario del grupo gestionar un espacio de nombres de etiqueta en el arrendamiento.

Allow group GroupA to manage tag-namespaces in tenancy
Para otorgar acceso a un espacio de nombres de etiqueta

Un usuario del grupo A tiene los permisos necesarios para gestionar instancias en un compartimento. Para que el usuario pueda aplicar una etiqueta a una instancia de un compartimento, debe agregar la siguiente sentencia a la política del grupo A. Esta sentencia otorga al grupo acceso a dicho espacio de nombres.

Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'
Para otorgar acceso para agregar valores por defecto de etiqueta
Para agregar valores predeterminados de etiqueta, necesita los siguientes permisos:
  • manage tag-defaults para acceder al compartimento en el que desea agregar el valor por defecto de etiqueta.
  • use tag-namespaces para acceder al compartimento donde resida el espacio de nombres de la etiqueta.
  • inspect tag-namespaces para acceder al arrendamiento.

Para que un grupo denominado GroupA pueda agregar un valor por defecto de etiqueta a un compartimento denominado CompartmentA en el que reside el juego de espacios de nombres de etiqueta, escriba una política con las siguientes sentencias.

Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancy

Para obtener más información sobre las políticas de etiquetado y ver más ejemplos, consulte Detalles de IAM sin dominios de identidad.

Control de acceso

Además de crear políticas de IAM, bloquee el acceso a los recursos de destino o al recurso solicitante mediante el control de acceso basado en etiquetas. El control de acceso basado en etiquetas proporciona otra capa de seguridad al restringir y otorgar acceso a un grupo concreto de usuarios o recursos de un compartimento.

Para obtener más información sobre esta función en Tagging, consulte Uso de etiquetas para gestionar el acceso

confidencialidad

No utilice etiquetas como método para almacenar información confidencial o confidencial. Utilice el servicio Vault para cifrar y gestionar secretos.