Location et compartiments GIA

Voyez comment utiliser des compartiments pour améliorer la sécurité, ainsi que des recommandations pour la gestion des administrateurs d'une location.

• Les compartiments sont propres au service IAM et offrent un mécanisme qui permet à un client d'entreprise de répondre à ses besoins centraux en ayant un seul compte ou une seule location. Ce compte ou location unique fournit une visibilité et un contrôle complets et centralisés, mais peut en même temps être subdivisé afin de répondre aux besoins des équipes constituantes, des projets et des initiatives.
• Pour des raisons de sécurité et de gouvernance, les utilisateurs ne doivent avoir accès qu'aux seules ressources dont ils ont besoin. Par exemple, les utilisateurs d'entreprise qui travaillent à un projet ou qui appartiennent à une unité d'affaires ont uniquement accès aux ressources associées au projet ou à l'unité d'affaires. Les compartiments constituent un moyen efficace de regrouper les ressources de la location en fonction de leurs privilèges d'accès et des groupes d'utilisateurs autorisés à y accéder au besoin. Dans l'exemple ci-dessus, un compartiment peut être créé pour inclure toutes les ressources appartenant à une unité d'affaires et de manière à autoriser uniquement les membres de cette unité d'affaires à accéder au compartiment. De même, l'accès des groupes à un compartiment peut être révoqué s'ils n'en ont plus besoin.
• Gardez à l'esprit ce qui suit lorsque vous créez un compartiment et affectez des ressources :
  • Chaque ressource doit appartenir à un compartiment.
  • Une ressource peut être réaffectée à un autre compartiment après sa création. Voir Gestion des compartiments.
  • Vous pouvez supprimer un compartiment après sa création. Voir Gestion des compartiments.
• Les marqueurs de ressource permettent de regrouper logiquement les ressources réparties dans de multiples compartiments. Par exemple, les ressources de la location peuvent être marquées test ou production selon leur utilisation. Pour plus d'informations sur les marqueurs de ressource (structure libre et marqueurs définis), voir Marqueurs de ressource.
• Chaque location est dotée d'un groupe d'administrateurs par défaut. Ce groupe peut effectuer toute action sur toutes les ressources d'une location (c.-à-d. qu'ils ont un accès racine à la location). Oracle recommande de maintenir le groupe d'administrateurs de la location aussi petit que possible. Voici quelques recommandations de sécurité concernant la gestion des administrateurs de location :
  • Veillez à créer des politiques de sécurité qui accordent l'appartenance au groupe d'administrateurs de location uniquement au besoin.
  • Les administrateurs de location doivent utiliser des mots de passe très complexes ainsi que l'authentification multifacteur, et renouveler périodiquement leurs mots de passe.
  • Une fois le compte configuré, Oracle recommande de ne pas utiliser le compte d'administrateur de location pour les opérations quotidiennes. Créez plutôt des utilisateurs et des groupes ayant moins de privilèges.
  • Bien que les comptes d'administrateur ne soient pas utilisés pour les opérations quotidiennes, ils sont toujours nécessaires lors de situations d'urgence ayant une incidence sur la location et les activités du client. Établissez des procédures d'urgence sécurisées et vérifiables pour l'utilisation des comptes d'administrateur dans de telles situations.
  • Désactivez immédiatement l'accès d'administrateur de location lorsqu'un employé quitte l'organisation.
  • Comme l'appartenance au groupe d'administrateurs de location est restreinte, Oracle recommande de créer des politiques de sécurité qui empêchent le verrouillage du compte d'administrateur (par exemple, si l'administrateur de location quitte la société et qu'aucun employé courant ne dispose de privilèges d'administrateur).