Documentation sur Oracle Cloud Infrastructure

Données d'identification GIA

Les données d'identification d'utilisateur IAM (mot de passe de la console, clé de signature d'API, jetons d'authentification et clés secrètes de client) accordent l'accès aux ressources. Il est important de sécuriser ces données d'identification pour empêcher l'accès non autorisé aux ressources d'Oracle Cloud Infrastructure.

Directives générales concernant les données d'identification :

  • Créez un mot de passe de console puissant pour chaque utilisateur IAM, avec une complexité suffisante. Recommandations d'Oracle pour créer un mot de passe complexe :

    • Le mot de passe doit avoir une longueur minimale de 12 caractères.
    • Le mot de passe contient au moins une lettre majuscule.
    • Le mot de passe contient au moins une lettre minuscule.
    • Le mot de passe contient au moins un caractère spécial.
    • Le mot de passe contient au moins un chiffre.
  • Renouveler les mots de passe et les clés d'API régulièrement, tous les jours de 90 ou moins. En plus d'être une pratique éprouvée en ingénierie de sécurité, il s'agit également d'une exigence de conformité. Par exemple, selon le paragraphe 3.6.4 des normes de sécurité de l'industrie des cartes de paiement (PCI-DSS), vous devez vous assurer que les procédures de gestion des clés incluent une cryptopériode définie pour chaque type de clé utilisé et établir un processus pour les changements de clés à la fin des cryptopériodes définies.
  • Ne pas coder les données d'identification GIA sensibles de façon permanente directement dans des logiciels ou des documents accessibles à un public large. Par exemple, le code chargé dans GitHub, les présentations ou les documents disponibles sur Internet. Des cas connus de piratage de comptes de client en nuage par des pirates ayant utilisé des données d'identification divulguées par inadvertance sur des sites publics ont été largement médiatisés. Lorsque les applications logicielles doivent accéder aux ressources Oracle Cloud Infrastructure, Oracle recommande d'utiliser des principaux d'instance. Si vous ne pouvez pas utiliser de principaux d'instance, il est recommandé d'utiliser des variables d'environnement d'utilisateur pour stocker les données d'identification et des fichiers de données d'identification stockés localement avec les clés d'API à utiliser par la trousse SDK ou l'interface de ligne de commande d'Oracle Cloud Infrastructure.
  • Ne pas partager les données d'identification GIA entre plusieurs utilisateurs.
  • En fédérant la connexion à la console au moyen d'Oracle Identity Cloud Service, les clients peuvent utiliser l'authentification multifacteur pour les utilisateurs IAM, en particulier les administrateurs.

Lors du renouvellement des clés d'API, s'assurer que les nouvelles clés fonctionnent comme prévu avant de désactiver les anciennes clés. Pour plus d'informations sur la génération et le chargement des clés d'API GIA, voir Clés et OCID requis. Étapes générales de renouvellement d'une clé d'API :

  1. Générez et chargez une nouvelle clé d'API.
  2. Mettez à jour les fichiers de configuration de la trousse SDK et de l'interface de ligne de commande avec la nouvelle clé d'API.
  3. Vérifiez que les appels de trousse SDK et d'interface de ligne de commande fonctionnent correctement avec la nouvelle clé.
  4. Désactivez l'ancienne clé d'API. Utilisez ListApiKeys pour répertorier toutes les clés d'API actives.