1. Oracle Cloud Infrastructure를 위한 모범 사례 프레임워크
  2. ID 및 권한 부여 정책 관리

ID 및 권한 부여 정책 관리

Oracle Cloud Infrastructure Identity and Access Management를 통해 클라우드 리소스에 대한 액세스 권한을 가진 사용자를 제어할 수 있습니다.액세스 및 권한 부여 인증서에는 API 키, 사인인 비밀번호, 통합 사인인 및 인증 토큰이 포함됩니다. 적절한 인증서를 사용하여 클라우드 계정 및 리소스를 보호합니다. Oracle은 클라우드에서 ID 관리를 구현할 때 다음 권장 사항을 채택하도록 권장합니다.

다중 요소 인증(MFA) 사용 적용

애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자

제한된 일회성 암호를 통해 인증된 사용자에게만 리소스에 대한 액세스를 제한합니다.
이 작업은 사용자 레벨에서 필요하고 IAM을 통해 리소스 레벨에서 적용해야 합니다. 리소스에 대한 액세스를 허용하는 액세스 정책에서 리소스에 대해 MFA를 적용할 수 있습니다. 예를 들어, 다음 정책은 GroupA의 사용자가 모든 구획의 인스턴스 계열에 속하는 리소스를 관리할 때 MFA를 적용합니다.
allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

일상적인 작업에 테넌시 관리자 계정 사용 안함

애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자

관리 액세스를 추가적으로 제한하려면 테넌시의 서비스 레벨 관리자를 생성해야 합니다. 서비스 레벨 관리자는 특정 서비스 또는 도메인의 리소스만 관리해야 합니다.
예를 들어, 다음 정책을 사용하면 VolumeAdmins 그룹의 사용자가 블록 볼륨 제품군의 리소스만 관리할 수 있습니다.
Allow group VolumeAdmins to manage volume-family in tenancy

관리자 계정 잠금을 방지하기 위한 보안 정책 생성

보안 설계자, 엔터프라이즈 설계자

이는 테넌시 관리자가 조직을 떠나는 경우입니다.

테넌시 관리자 그룹의 관리 기능 제한

보안 설계자, 엔터프라이즈 설계자

관리자 권한은 최소 권한 규칙을 따라야 하므로 관리자 그룹 또는 관리 정책의 첨부에 대한 멤버쉽은 필요에 따라 제한되어야 합니다.

다음 정책을 통해 UserAdmins 그룹의 사용자는 테넌시의 그룹만 검사할 수 있습니다. 

Allow group UserAdmins to inspect groups in tenancy

액세스 정책에 대한 사고 또는 악의적인 삭제 및 변경 방지

애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자

예를 들어, 다음 정책은 PolicyAdmins 그룹의 사용자만 정책을 생성할 수 있지만 정책을 편집하거나 삭제할 수는 없습니다. 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Oracle Cloud Infrastructure Identity and Access Management 통합

애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자

가능한 경우 Oracle Cloud Infrastructure Identity and Access Management와 조직의 중앙 집중식 ID 제공자(IdP)를 연합합니다.
  • 통합 IdP의 관리자 그룹에 매핑되고 통합 IdP의 관리자 그룹과 동일한 보안 정책으로 제어되는 페더레이션 관리자 그룹을 생성합니다.
  • 로컬 사용자를 만들고 기본 Administrators IAM 그룹에 사용자를 할당합니다. 이 사용자는 분류 해제 유형 시나리오에 사용합니다(예: 통합을 통해 리소스에 액세스할 수 없음).
  • 통합 관리자 IAM 그룹이 기본 테넌시 Administrators 그룹의 멤버쉽을 수정하지 못하도록 정책을 정의합니다.
  • 테넌시 관리자 및 Administrators 그룹의 작업에 대한 감사 로그를 모니터링하여 허용되지 않은 액세스 및 작업을 감지합니다.

모든 사용자의 활동 및 상태 모니터링 및 관리

애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자

모든 사용자의 활동 및 상태를 모니터링하고 관리합니다.
  • 직원이 퇴사하면 사용자를 즉시 삭제하여 테넌시에 대한 액세스 권한을 사용 안함으로 설정합니다.
  • 사용자 암호 및 API 키의 회전을 90일 이하로 적용합니다.
  • IAM(ID 및 접근 관리) 자격 증명이 소프트웨어 또는 작업 설명서에 하드 코딩되지 않도록 하십시오.
  • 조직의 누구나 테넌시의 리소스에 액세스해야 하는 IAM 사용자를 생성합니다. 여러 사용자 간에 IAM 사용자를 공유하지 마십시오.
  • IAM 그룹의 사용자를 정기적으로 검토하고 더 이상 액세스할 필요가 없는 사용자를 제거합니다.
  • IAM API 키를 최소 90일마다 변경하여 손상될 위험을 줄입니다.

추가 정보