Tenancy e compartimenti IAM

Scopri come utilizzare i compartimenti per migliorare la sicurezza e i suggerimenti per la gestione degli amministratori di una tenancy.

• I compartimenti sono unici per IAM e offrono un meccanismo che consente a un cliente aziendale di soddisfare le proprie esigenze centrali disponendo di un unico account o tenancy. Questo singolo account o tenancy fornisce controllo e visibilità centralizzati completi, consentendo al contempo di suddividere l'account o la tenancy per soddisfare le esigenze dei team, dei progetti e delle iniziative costituenti.
• Per motivi di sicurezza e governance, gli utenti dovrebbero avere accesso solo alle risorse di cui hanno bisogno. Ad esempio, gli utenti aziendali che lavorano a un progetto o appartengono a una business unit devono avere accesso solo alle risorse appartenenti al progetto o alla business unit. I compartimenti forniscono un meccanismo efficace per raggruppare le risorse della tenancy in base ai relativi privilegi di accesso e autorizzare gruppi di utenti ad accedere ai compartimenti in base alle esigenze. Nell'esempio precedente, è possibile creare un compartimento per includere tutte le risorse appartenenti a una business unit e autorizzare solo i membri della business unit ad accedere al compartimento. Analogamente, l'accesso di un gruppo a un compartimento può essere revocato quando non ne ha più bisogno.
• Quando si crea un compartimento e si assegnano risorse, tenere presente quanto riportato di seguito.
  • Ogni risorsa deve appartenere a un compartimento.
  • Una risorsa può essere riassegnata a un altro compartimento dopo la creazione. Vedere Gestione dei compartimenti.
  • Un compartimento può essere eliminato dopo la creazione. Vedere Gestione dei compartimenti.
• Le tag risorsa consentono di aggregare logicamente le risorse distribuite in più compartimenti. Ad esempio, le risorse della tenancy possono essere contrassegnate come test o production a seconda dell'uso. Per ulteriori informazioni sulle tag risorsa (tag in formato libero e definite), vedere Tag risorsa.
• Ogni tenancy viene fornita con un gruppo di amministratori predefinito. Questo gruppo può eseguire qualsiasi azione su tutte le risorse di una tenancy, ovvero dispone dell'accesso root alla tenancy. Oracle consiglia di mantenere il gruppo di amministratori della tenancy il più piccolo possibile. Alcuni suggerimenti sulla sicurezza per la gestione degli amministratori della tenancy:
  • Disporre di criteri di sicurezza che concedano l'appartenenza al gruppo di amministratori della tenancy in modo rigoroso in base alle esigenze.
  • Gli amministratori della tenancy devono utilizzare password ad alta complessità, insieme all'autenticazione MFA, e ruotare periodicamente le password.
  • Dopo aver impostato e configurato l'account, Oracle consiglia di non utilizzare l'account amministratore della tenancy per le operazioni quotidiane. Creare invece utenti e gruppi con meno privilegi.
  • Sebbene gli account amministratore non vengano utilizzati per le operazioni giornaliere, sono comunque necessari per affrontare scenari di emergenza che influiscono sulla tenancy e sulle operazioni dei clienti. Specificare procedure "break-glass" sicure e verificabili per l'utilizzo degli account di amministratore in tali emergenze.
  • Disabilitare immediatamente l'accesso all'amministrazione della tenancy quando un dipendente lascia l'organizzazione.
  • Poiché l'appartenenza al gruppo di amministratori della tenancy è limitata, Oracle consiglia di creare criteri di sicurezza che impediscano il blocco dell'account di amministratore (ad esempio, se l'amministratore della tenancy lascia l'azienda e nessun dipendente corrente dispone dei privilegi di amministratore).