Location et compartiments IAM

Découvrez comment utiliser les compartiments afin d'améliorer la sécurité, ainsi que des recommandations pour la gestion des administrateurs d'une location.

• Les compartiments sont propres à IAM et offrent un mécanisme qui permet à un client d'entreprise de répondre à ses besoins principaux en un seul compte ou une seule location. Ce compte ou cette location unique offre une visibilité et un contrôle centralisés complets, tout en permettant de subdiviser le compte ou la location de sorte à répondre aux besoins des équipes, des projets et des initiatives.
• Pour des raisons de sécurité et de gouvernance, les utilisateurs ne doivent avoir accès qu'aux ressources dont ils ont besoin. Par exemple, les utilisateurs d'entreprise travaillant sur un projet ou appartenant à une unité opérationnelle ne doivent avoir accès qu'aux ressources appartenant au projet ou à l'unité opérationnelle spécifique. Les compartiments constituent un moyen efficace pour regrouper les ressources de location en fonction de leurs privilèges d'accès et pour autoriser des groupes d'utilisateurs à accéder aux compartiments selon les besoins. Dans l'exemple ci-dessus, un compartiment peut être créé pour inclure toutes les ressources appartenant à une unité opérationnelle, et n'autoriser que les membres de cette unité opérationnelle à accéder au compartiment. De même, l'accès d'un groupe à un compartiment peut être révoqué lorsqu'il n'est plus nécessaire.
• Gardez à l'esprit les points suivants lorsque vous créez un compartiment et affectez des ressources :
  • Chaque ressource doit appartenir à un compartiment.
  • Une ressource peut être réaffectée à un autre compartiment après sa création. Reportez-vous à Gestion des compartiments.
  • Un compartiment peut être supprimé après sa création. Reportez-vous à Gestion des compartiments.
• Les balises de ressource permettent d'agréger de manière logique des ressources réparties entre plusieurs compartiments. Par exemple, les ressources de location peuvent être marquées comme test ou production en fonction de leur utilisation. Pour plus d'informations sur les balises de ressource (balises à format libre et balises définies), reportez-vous à Balises de ressource.
• Chaque location est fournie avec un groupe d'administrateurs par défaut. Ce groupe peut effectuer n'importe quelle action sur toutes les ressources d'une location (c'est-à-dire que les membres de ce groupe disposent d'un accès racine à la location). Oracle vous recommande de veiller à ce que le groupe d'administrateurs de location reste aussi restreint que possible. Voici quelques recommandations de sécurité sur la gestion des administrateurs de location :
  • Etablissez des stratégies de sécurité accordant l'appartenance au groupe d'administrateurs de location strictement en fonction des besoins.
  • Les administrateurs de location doivent utiliser des mots de passe à complexité élevée, ainsi que l'authentification à plusieurs facteurs, et effectuer régulièrement la rotation de leurs mots de passe.
  • Une fois le compte installé et configuré, Oracle vous recommande de ne pas utiliser le compte d'administrateur de location pour les opérations quotidiennes. A la place, créez des utilisateurs et des groupes dotés de privilèges moindres.
  • Même si les comptes administrateur ne sont pas utilisés pour les opérations quotidiennes, ils sont quand même nécessaires pour gérer les scénarios d'urgence ayant un impact sur la location et les opérations des clients. Indiquez des procédures d'accès d'urgence sécurisées et pouvant faire l'objet d'un audit quant à l'utilisation de comptes administrateur dans de telles situations d'urgence.
  • Désactivez l'accès d'administration de location immédiatement lorsqu'un employé quitte l'organisation.
  • Etant donné que l'appartenance au groupe d'administrateurs de location est restreinte, Oracle vous recommande de créer des stratégies de sécurité qui empêchent le verrouillage de compte administrateur (par exemple, si l'administrateur de location quitte l'entreprise et qu'aucun autre employé ne dispose de privilèges d'administrateur).