Gérer les identités et les stratégies d'autorisation
Oracle Cloud Infrastructure Identity and Access Management vous permet de contrôler qui a accès à vos ressources cloud.Les informations d'identification pour l'accès et l'autorisation incluent les clés d'API, le mot de passe de connexion, la connexion fédérée et les jetons d'authentification. Utilisez les informations d'identification appropriées pour protéger votre compte et vos ressources cloud. Oracle vous encourage à adopter les recommandations suivantes lors de l'implémentation de la gestion des identités dans le cloud.
Application de l'authentification à plusieurs facteurs
Enterprise Architect, Security Architect, Application Architect
Limitez l'accès aux ressources uniquement aux utilisateurs authentifiés par le biais d'un mot de passe à usage unique limité dans le temps.
Vous devez en avoir besoin au niveau de l'utilisateur et l'appliquer au niveau des ressources via IAM. Vous pouvez appliquer l'authentification à plusieurs facteurs pour une ressource dans la stratégie d'accès qui autorise l'accès à la ressource. Par exemple, la stratégie suivante applique l'authentification à plusieurs facteurs lorsque les utilisateurs de
GroupA
gèrent les ressources appartenant à la famille d'instances dans n'importe quel compartiment.allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'
Ne pas utiliser le compte d'administrateur de location pour les opérations quotidiennes
Enterprise Architect, Security Architect, Application Architect
Les administrateurs de niveau de service de la location doivent être créés pour limiter davantage l'accès administratif. Les administrateurs de niveau service doivent gérer uniquement les ressources d'un service ou d'un domaine spécifique.
Par exemple, la stratégie suivante permet aux utilisateurs du groupe
VolumeAdmins
de gérer uniquement les ressources de la famille de volumes de blocs.Allow group VolumeAdmins to manage volume-family in tenancy
Créer des stratégies de sécurité pour empêcher le verrouillage de compte administrateur
Enterprise Architect, Security Architect
Il s'agit du cas où l'administrateur de location quitte votre organisation.
Limitation des responsabilités d'administration d'un groupe d'administrateurs de location
Enterprise Architect, Security Architect
Les autorisations administrateur doivent respecter la règle du moindre privilège. Par conséquent, l'appartenance à un groupe d'administrateurs ou la pièce jointe à une stratégie d'administration doit être limitée en fonction des besoins.
La stratégie suivante permet aux utilisateurs du groupe UserAdmins
d'inspecter uniquement les groupes dans la location.
Allow group UserAdmins to inspect groups in tenancy
Empêcher la suppression accidentelle ou malveillante des stratégies d'accès (et les modifications apportées)
Enterprise Architect, Security Architect, Application Architect
Par exemple, la stratégie suivante permet uniquement aux utilisateurs du groupe
PolicyAdmins
de créer des stratégies, mais pas de les modifier ni de les supprimer.
Allow group PolicyAdmins to manage policies in tenancy where
request.permission='POLICY_CREATE'
Fédérer Oracle Cloud Infrastructure Identity and Access Management
Enterprise Architect, Security Architect, Application Architect
Lorsque cela est possible et pertinent, fédérez Oracle Cloud Infrastructure Identity and Access Management avec le fournisseur d'identités centralisé de votre organisation (IdP).
- Créez un groupe d'administrateurs de fédération qui est mis en correspondance avec le groupe d'administrateurs du fournisseur d'identités fédéré et est régi par les mêmes stratégies de sécurité que le groupe d'administrateurs du fournisseur d'identités fédéré.
- Créez un utilisateur local et affectez-lui le groupe IAM par défaut
Administrators
. Utilisez cet utilisateur pour les scénarios de type bris de verre (par exemple, incapacité à accéder aux ressources via Federation). - Définissez une stratégie pour empêcher le groupe IAM d'administrateurs fédérés de modifier l'appartenance au groupe
Administrators
de location par défaut. - Détectez les accès et les opérations non autorisés en surveillant les journaux d'audit des opérations effectuées par les administrateurs de location et les modifications apportées au groupe
Administrators
.
Surveiller et gérer les activités et le statut de tous les utilisateurs
Enterprise Architect, Security Architect, Application Architect
Surveiller et gérer les activités et le statut de tous les utilisateurs.
- Lorsqu'un employé quitte l'organisation, désactivez l'accès à la location en supprimant l'utilisateur immédiatement.
- Imposer la rotation du mot de passe utilisateur et des clés d'API tous les 90 jours ou moins.
- Assurez-vous que les informations d'identification Identity and Access Management (IAM) ne sont codées en dur dans aucune documentation de logiciel ou d'opération.
- Créez un utilisateur IAM pour toutes les personnes de l'organisation qui ont besoin d'accéder aux ressources de la location. Ne partagez pas un utilisateur IAM avec plusieurs utilisateurs humains.
- Examinez régulièrement les utilisateurs des groupes IAM et supprimez les utilisateurs qui n'ont plus besoin d'accès.
- Modifiez les clés d'API IAM au moins tous les 90 jours pour réduire les risques de compromission.