Sicurezza

Ogni tenancy OCI include un account amministratore che, per impostazione predefinita, è membro del gruppo di amministratori della tenancy. Il gruppo Administrators concede l'accesso completo all'intera tenancy. Per questo motivo, è consigliabile non utilizzare l'account Administrator per l'amministrazione quotidiana della tenancy.

La best practice consiste nel riservare il gruppo Administrators per gli scenari di emergenza. Ai singoli amministratori possono essere concesse le autorizzazioni per gestire le rispettive aree senza che una singola persona disponga dell'accesso completo all'intera tenancy.

Man mano che le istanze di Identity Cloud Service diventano parte nativa di OCI, i membri del gruppo di amministratori dispongono dell'accesso completo per gestire i domini di Identity IAM. Ciò non significa che gli amministratori di Identity Cloud Service correnti dispongano di privilegi amministrativi sugli account OCI.

Verificare che l'uso del gruppo Administrators sia coerente con i criteri di sicurezza dell'organizzazione.

In alcuni casi, viene aggiunto un gruppo denominato OCI_Administrators all'istanza IDCS fornita durante la creazione della tenancy (in genere denominato IdentityCloudService). Questo gruppo è mappato al gruppo di amministratori del dominio di Identity predefinito, al quale non sono stati assegnati utenti al momento della creazione. Se si desidera che gli utenti abbiano accesso completo all'intera tenancy, è possibile aggiungerli al gruppo OCI_Administrators nel file IdentityCloudServicedomain.

Qualsiasi utente con il ruolo di amministratore del dominio di Identity dispone dei privilegi amministrativi per tale dominio di Identity. Si consiglia all'amministratore del dominio di Identity di creare altri amministratori (o, ad esempio, un amministratore utente) con il set minimo di responsabilità di amministrazione necessarie per eseguire i task. Vedere Introduzione ai ruoli di amministratore.

I ruoli amministratore vengono definiti in un dominio di Identity specifico. Pertanto, ad esempio, un amministratore di utenti per DomainB può gestire solo gli utenti in DomainB e non può gestire gli utenti in DomainA.

A differenza dei ruoli amministratore, i criteri si applicano ai compartimenti nella tenancy. Ad esempio, se a un utente del gruppo foo in DomainA viene assegnato un criterio quale:

allow group DomainA/foo to manage users in tenancy

Ciò fornisce all'utente tali privilegi sull'intera tenancy.

Nei domini di Identity le impostazioni di autenticazione IAM utilizzate per impostare le regole delle password fanno ora parte dei criteri delle password. È possibile definire più criteri password e assegnarli a gruppi diversi. Vedere Gestione dei criteri di accesso.

Se si utilizzano le origini di rete per specificare un set consentito di indirizzi IP dai quali gli utenti possono eseguire determinate azioni, ad esempio collegarsi alla console, con i domini di Identity, è possibile utilizzare i perimetri di rete per eseguire le stesse operazioni. Vedere Gestione dei perimetri di rete.

1. Prima di eseguire la migrazione di Identity Cloud Service, prendere nota delle origini di rete utilizzate, ad esempio my-allow-list 140.160.240.0/24.
2. Dopo aver eseguito la migrazione della tenancy, creare perimetri di rete utilizzando gli stessi indirizzi IP. Vedere Creazione di un perimetro di rete.
3. Creare criteri che fanno riferimento ai nuovi perimetri di rete, come un criterio di accesso o un criterio del provider di identità.

Se si è utilizzato il criterio di accesso predefinito per proteggere la console di Identity Cloud Service, tale criterio continua ad applicare le regole dopo la migrazione.

Dopo la migrazione, OCI Console è abilitata per l'account ed è protetta da un nuovo criterio di accesso denominato Criterio di sicurezza per OCI Console.

Per ulteriori informazioni sui criteri di accesso, vedere Informazioni sui criteri di accesso e sulle regole di accesso.