Gestión de identidades y políticas de autorización
Oracle Cloud Infrastructure Identity and Access Management permite controlar quién tiene acceso a sus recursos en la nube.Las credenciales de acceso y autorización incluyen claves de API, contraseñas de inicio de sesión, conexiones federadas y tokens de autenticación. Utilice las credenciales adecuadas para proteger su cuenta y recursos en la nube. Oracle le recomienda que adopte las siguientes recomendaciones al implantar la gestión de identidades en la nube.
Aplicación del uso de la autenticación de varios factores (MFA)
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Restrinja el acceso a los recursos exclusivamente a los usuarios autenticados a través de una contraseña de un solo uso limitada por tiempo.
Debe solicitarlo a nivel de usuario y aplicarlo a nivel de recursos mediante IAM. Puede aplicar MFA para un recurso en la política de acceso que permite el acceso al recurso. Por ejemplo, la siguiente política aplica MFA cuando los usuarios de
GroupA
gestionan los recursos que pertenecen a la familia de instancias en cualquier compartimento.allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'
No utilizar la cuenta de administrador de arrendamiento para las operaciones diarias
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Se deben crear administradores de nivel de servicio en el arrendamiento para limitar aún más el acceso administrativo. Los administradores de nivel de servicio solo deben gestionar recursos de un dominio o servicio específico.
Por ejemplo, la siguiente política permite a los usuarios del grupo
VolumeAdmins
gestionar solo los recursos de la familia de volúmenes en bloque.Allow group VolumeAdmins to manage volume-family in tenancy
Crear políticas de seguridad para evitar el bloqueo de cuentas de administrador
Arquitecto empresarial, arquitecto de seguridad
En caso de que el administrador del arrendamiento abandone su organización.
Restricción de las capacidades de administrador de un grupo de administradores de arrendamiento
Arquitecto empresarial, arquitecto de seguridad
Los permisos de administrador deben seguir la regla de privilegio mínimo, por lo que la pertenencia a un grupo de administradores o el anexo a una política de administración se debe limitar a una base según sea necesario.
La siguiente política permite a los usuarios del grupo UserAdmins
inspeccionar solo los grupos del arrendamiento.
Allow group UserAdmins to inspect groups in tenancy
Evitar la eliminación accidental o maliciosa de (y cambios en) políticas de acceso
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Por ejemplo, la siguiente política solo permite a los usuarios del grupo
PolicyAdmins
crear políticas, pero no editarlas ni suprimirlas.
Allow group PolicyAdmins to manage policies in tenancy where
request.permission='POLICY_CREATE'
Federación de Oracle Cloud Infrastructure Identity and Access Management
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Cuando sea posible y pertinente, federe Oracle Cloud Infrastructure Identity and Access Management con el proveedor de identidad centralizada de su organización (IdP).
- Cree un grupo de administradores de federación que se asigne al grupo de administradores del IdP federado y se rija por las mismas políticas de seguridad que el grupo de administradores del IdP federado.
- Cree un usuario local y asigne el usuario al grupo de IAM por defecto
Administrators
. Utilice este usuario para escenarios de tipo break-glass (por ejemplo, incapacidad para acceder a recursos mediante federación). - Defina una política para evitar que el grupo de IAM de administradores federados modifique la pertenencia al grupo
Administrators
de arrendamiento por defecto. - Detecte operaciones y acceso no autorizados mediante la supervisión de los logs de auditoría para las operaciones de los administradores de arrendamiento y los cambios en el grupo
Administrators
.
Supervisión y gestión de las actividades y el estado de todos los usuarios
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Supervise y gestione las actividades y el estado de todos los usuarios.
- Cuando un empleado abandone la organización, desactive el acceso al arrendamiento suprimiendo el usuario inmediatamente.
- Aplique la rotación de la contraseña de usuario y las claves de API cada 90 días o menos.
- Asegúrese de que las credenciales de Identity and Access Management (IAM) no están codificadas en ninguna de la documentación de operaciones o software.
- Cree un usuario de IAM para todos los usuarios de la organización que necesiten acceder a recursos del arrendamiento. No comparta un usuario de IAM entre varios usuarios humanos.
- Revise los usuarios de los grupos de IAM periódicamente y elimine los usuarios que ya no necesitan acceder.
- Cambie las claves de API de IAM al menos cada 90 días para reducir el riesgo de comprometerse.