Segurança

Cada tenancy do OCI inclui uma conta de Administrador que é, por padrão, um membro do grupo Administradores da tenancy. O grupo Administradores concede acesso total a toda a tenancy. Por esse motivo, é recomendável não usar a conta de Administrador para a administração diária da tenancy.

A melhor prática é reservar o grupo Administradores para cenários de emergência. Os administradores individuais podem receber permissões para gerenciar suas respectivas áreas sem que nenhuma pessoa tenha acesso total a toda a tenancy.

À medida que as instâncias do Identity Cloud Service se tornam parte nativa do OCI, os membros do grupo Administradores têm acesso total para gerenciar domínios de identidade do serviço IAM. Isso não significa que os administradores atuais do Identity Cloud Service tenham privilégios administrativos em contas do OCI.

Confirme se o uso do grupo Administradores é consistente com as políticas de segurança de sua organização.

Em alguns casos, um grupo chamado OCI_Administrators é adicionado à instância do IDCS que foi fornecida durante a criação da tenancy (geralmente chamada de IdentityCloudService). Esse grupo é mapeado para o grupo Administradores do domínio de identidades Padrão, que não tem usuários designados no momento da criação. Se quiser que os usuários tenham acesso total a toda a tenancy, você poderá adicioná-los ao grupo OCI_Administrators no IdentityCloudServicedomain.

Qualquer usuário com a atribuição de administrador de domínio de identidades tem privilégios administrativos para esse domínio de identidades. A melhor prática é que o administrador do domínio de identidades crie outros administradores (ou, por exemplo, um administrador de usuário) com o conjunto mínimo de responsabilidades de administração necessárias para executar suas tarefas. Consulte Noções Básicas sobre Atribuições de Administrador.

As atribuições de administrador têm escopo em um domínio de identidades específico. Portanto, por exemplo, um administrador de usuário para DomainB só pode gerenciar usuários em DomainB e não pode gerenciar usuários em DomainA.

Em contraste com as atribuições de administrador, as políticas se aplicam a compartimentos na tenancy. Portanto, por exemplo, se um usuário do grupo foo em DomainA receber uma política como:

allow group DomainA/foo to manage users in tenancy

Isso dá ao usuário esses privilégios em toda a tenancy.

Em domínios de identidades, as definições de autenticação do IAM usadas para definir regras de senha agora fazem parte das Políticas de Senha. Você pode definir várias políticas de senha e designá-las a diferentes grupos. Consulte Gerenciando Políticas de Sign-On.

Se você estiver usando origens de rede para especificar um conjunto permitido de endereços IP dos quais os usuários podem executar determinadas ações, como acessar a Console, com domínios de identidades, poderá usar perímetros de rede para fazer o mesmo. Consulte Gerenciando Perímetros de Rede.

1. Antes de migrar o Identity Cloud Service, anote as origens de rede que você usa, por exemplo, my-allow-list 140.160.240.0/24.
2. Depois que sua tenancy tiver migrado, crie perímetros de rede usando os mesmos endereços IP. Consulte Criando um Perímetro de Rede.
3. Crie políticas que façam referência aos novos perímetros de rede, como uma política de sign-on ou uma política de provedor de identidades.

Se você estiver usando a política de sign-on padrão para proteger a Console do Identity Cloud Service, essa política continuará a impor regras após a migração.

Após a migração, a Console do OCI é ativada para sua conta e protegida por uma nova política de sign-on chamada Política de Segurança para a Console do OCI.

Para obter mais informações sobre as políticas de sign-on, consulte Sobre Políticas de Sign-On e Regras de Sign-On.