Sicurezza

Ogni tenancy OCI include un account Administrator che è, per impostazione predefinita, un membro del gruppo di amministratori della tenancy. Il gruppo Administrators concede l'accesso completo all'intera tenancy. Per questo motivo, è consigliabile non utilizzare l'account Administrator per l'amministrazione quotidiana della tenancy.

È consigliabile riservare il gruppo Administrators per scenari di emergenza. Ai singoli amministratori possono essere concesse le autorizzazioni per gestire le rispettive aree senza che una sola persona disponga dell'accesso completo all'intera tenancy.

Man mano che le istanze di Identity Cloud Service diventano parte nativa di OCI, i membri del gruppo Amministratori hanno accesso completo per gestire i domini di identità IAM. Ciò non significa che gli amministratori correnti di Identity Cloud Service dispongano dei privilegi di amministrazione sugli account OCI.

Verificare che l'uso del gruppo Administrators sia coerente con i criteri di sicurezza dell'organizzazione.

In alcuni casi, un gruppo denominato OCI_Administrators viene aggiunto all'istanza IDCS fornita durante la creazione della tenancy (in genere denominata IdentityCloudService). Questo gruppo è mappato al gruppo Amministratori del dominio di Identity predefinito, al quale non sono assegnati utenti in fase di creazione. Se si desidera che gli utenti abbiano accesso completo all'intera tenancy, è possibile aggiungerli al gruppo OCI_Administrators in IdentityCloudServicedomain.

Qualsiasi utente con il ruolo di amministratore del dominio di Identity dispone dei privilegi di amministrazione per tale dominio di Identity. La procedura ottimale prevede che l'amministratore del dominio di Identity crei altri amministratori (o, ad esempio, un amministratore utente) con il set minimo di responsabilità di amministrazione necessarie per eseguire i task. Vedere Introduzione ai ruoli amministratore.

I ruoli amministratore sono definiti per un dominio di Identity specifico. Pertanto, ad esempio, un amministratore utente per DomainB può gestire solo gli utenti in DomainB e non può gestire gli utenti in DomainA.

A differenza dei ruoli amministratore, i criteri si applicano ai compartimenti nella tenancy. Pertanto, ad esempio, se a un utente del gruppo foo in DomainA viene assegnato un criterio come:

allow group DomainA/foo to manage users in tenancy

In questo modo, all'utente vengono concessi i privilegi necessari sull'intera tenancy.

Nei domini di Identity, le impostazioni di autenticazione IAM utilizzate per impostare le regole delle password ora fanno parte dei criteri password. È possibile definire più criteri password e assegnarli a gruppi diversi. Vedere Gestione dei criteri di accesso.

Se si utilizzano origini di rete per specificare un set consentito di indirizzi IP da cui gli utenti possono eseguire determinate azioni, ad esempio eseguire l'accesso alla console, con i domini di identità è possibile utilizzare i perimetri di rete per fare lo stesso. Vedere Gestione dei perimetri di rete.

1. Prima di eseguire la migrazione di Identity Cloud Service, prendere nota delle origini di rete utilizzate, ad esempio my-allow-list 140.160.240.0/24.
2. Dopo la migrazione della tenancy, creare i perimetri di rete utilizzando gli stessi indirizzi IP. Vedere Creating a Network Perimeter.
3. Creare criteri che fanno riferimento ai nuovi perimetri di rete, ad esempio un criterio di accesso o un criterio del provider di identità.

Se si utilizza il criterio di accesso predefinito per proteggere la console di Identity Cloud Service, tale criterio continua ad applicare le regole dopo la migrazione.

Dopo la migrazione, OCI Console è abilitata per l'account ed è protetta da un nuovo criterio di accesso denominato Criterio di sicurezza per OCI Console.

Per ulteriori informazioni sui criteri di accesso, vedere Informazioni sui criteri di accesso e sulle regole di accesso.