Documentazione dell'infrastruttura Oracle Cloud

Credenziali IAM

Le credenziali utente IAM (password della console, chiave di firma API, token di autenticazione e chiavi segrete del cliente) concedono l'accesso alle risorse. È importante proteggere queste credenziali per impedire l'accesso non autorizzato alle risorse di Oracle Cloud Infrastructure.

Di seguito sono riportate le linee guida generali per la gestione delle credenziali.

  • Crea una password della console efficace per ogni utente IAM, con una complessità sufficiente. Per una password complessa, Oracle consiglia quanto riportato di seguito.

    • La password ha una lunghezza minima di 12 caratteri
    • La password contiene almeno un carattere maiuscolo
    • La password contiene almeno un carattere minuscolo
    • La password contiene almeno un simbolo
    • La password contiene almeno un numero
  • Ruota regolarmente password e chiavi API IAM, ogni 90 giorni o meno. Oltre a una best practice di progettazione della sicurezza, si tratta anche di un requisito di conformità. Ad esempio, la Sezione 3.6.4 PCI-DSS afferma: "Verificare che le procedure di gestione delle chiavi includano un periodo di crittografia definito per ogni tipo di chiave in uso e definire un processo per le modifiche delle chiavi alla fine del periodo o dei periodi di crittografia definiti."
  • Non inserire credenziali IAM sensibili al codice fisso direttamente in software o documenti accessibili a un vasto pubblico. Ad esempio, il codice caricato su GitHub, le presentazioni o i documenti disponibili su Internet. Ci sono stati casi noti e altamente pubblicizzati di hacker che violano gli account cloud dei clienti, utilizzando credenziali inavvertitamente divulgate su siti pubblici. Quando le applicazioni software devono accedere alle risorse di Oracle Cloud Infrastructure, Oracle consiglia di utilizzare i principal delle istanze. Se non è possibile utilizzare i principal delle istanze, altri suggerimenti includono l'uso di variabili di ambiente utente per memorizzare le credenziali e l'uso di file delle credenziali memorizzati in locale con chiavi API che devono essere utilizzate dall'SDK o dall'interfaccia CLI di Oracle Cloud Infrastructure.
  • Non condividere le credenziali IAM tra più utenti.
  • Federando il login della console tramite Oracle Identity Cloud Service, i clienti possono utilizzare l'autenticazione a più fattori (MFA) per gli utenti IAM, in particolare gli amministratori.

Durante la rotazione delle chiavi API, verificare che le chiavi ruotate funzionino come previsto prima di disabilitare le chiavi meno recenti. Per informazioni sulla generazione e il caricamento delle chiavi API IAM, vedere Chiavi e OCID obbligatori. Di seguito sono riportati i passi di alto livello per la rotazione di una chiave API.

  1. Genera e carica una nuova API Key.
  2. Aggiornare i file di configurazione dell'SDK e dell'interfaccia CLI con la nuova chiave API.
  3. Verificare che le chiamate SDK e CLI funzionino correttamente con la nuova chiave.
  4. Disattiva la vecchia API Key. Utilizzare ListApiKeys per elencare tutte le chiavi API attive.