Informations d'identification IAM

Les informations d'identification de l'utilisateur IAM (mot de passe de console, clé de signature d'API, jetons d'authentification et clés secrètes client) autorisent l'accès aux ressources. Il est important de sécuriser ces informations d'identification pour empêcher l'accès non autorisé aux ressources Oracle Cloud Infrastructure.

Les instructions générales relatives à la gestion des informations d'identification sont les suivantes :

• Créez un mot de passe de console fiable pour chaque utilisateur IAM, avec une complexité suffisante. Oracle recommande d'utiliser les critères suivants pour un mot de passe complexe :

  • Le mot de passe doit comporter au minimum 12 caractères.
  • Le mot de passe contient au moins une majuscule.
  • Le mot de passe contient au moins une minuscule.
  • Le mot de passe contient au moins un symbole.
  • Le mot de passe contient au moins un chiffre.
• Effectuez régulièrement la rotation des mots de passe IAM et des clés d'API, au moins tous les 90 jours. En plus de faire partie des meilleures pratiques en matière d'ingénierie de la sécurité, il s'agit également d'une exigence de conformité. Par exemple, la certification PCI-DSS section 3.6.4 indique qu'il est nécessaire de vérifier que les procédures de gestion de clés incluent une période cryptographique définie pour chaque type de clé utilisé et de définir un processus pour les modifications de clés à la fin de la période cryptographique définie.
• Ne codez pas en dur les informations d'identification IAM sensibles directement dans les logiciels ou les documents accessibles à un large public. Il peut s'agir par exemple de code téléchargé vers GitHub, de présentations ou de documents disponibles sur Internet. Il y a eu des cas connus et très médiatisés de pirates informatiques qui sont parvenus à accéder à des comptes cloud de clients en utilisant des informations d'identification divulguées par inadvertance sur des sites Web publics. Lorsque des applications logiciels ont besoin d'accéder à des ressources Oracle Cloud Infrastructure, Oracle vous recommande d'utiliser des principaux d'instance. S'il est impossible d'utiliser des principaux d'instance, d'autres recommandations incluent l'utilisation de variables d'environnement utilisateur pour stocker les informations d'identification, et l'utilisation de fichiers d'informations d'identification stockés localement avec des clés d'API qui seront utilisées par le kit SDK ou l'interface de ligne de commande Oracle Cloud Infrastructure.
• Ne partagez pas les informations d'identification IAM entre plusieurs utilisateurs.
• En fédérant la connexion à la console via Oracle Identity Cloud Service, les clients peuvent utiliser une authentification à plusieurs facteurs pour les utilisateurs IAM, en particulier les administrateurs.

Lors de la rotation des clés d'API, vérifiez que les clés en question fonctionnent comme prévu avant de désactiver les anciennes. Pour plus d'informations sur la génération et le téléchargement de clés d'API IAM, reportez-vous à Clés et OCID requis. Les étapes générales de rotation d'une clé d'API sont les suivantes :

1. Générez et téléchargez une nouvelle clé d'API.
2. Mettez à jour les fichiers de configuration du kit SDK et de l'interface de ligne de commande avec la nouvelle clé d'API.
3. Vérifiez que les appels du kit SDK et de l'interface de ligne de commande fonctionnent correctement avec la nouvelle clé.
4. Désactivez l'ancienne clé d'API. Utilisez ListApiKeys pour répertorier toutes les clés d'API actives.