Documentação do Oracle Cloud Infrastructure

Credenciais do IAM

As credenciais do usuário do IAM (senha da Console, chave de assinatura da API, tokens de autenticação e chaves secretas do cliente) concedem acesso aos recursos. É importante proteger essas credenciais para impedir o acesso não autorizado aos recursos do Oracle Cloud Infrastructure.

As diretrizes gerais para lidar com credenciais incluem:

  • Crie uma senha forte na Console para cada usuário do IAM, com complexidade suficiente. A Oracle recomenda o seguinte para uma senha complexa:

    • A senha deve ter um tamanho mínimo de 12 caracteres
    • A senha deve conter pelo menos uma letra maiúscula
    • A senha deve conter pelo menos uma letra minúscula
    • A senha deve conter pelo menos um símbolo
    • A senha deve conter pelo menos um número
  • Rotacione as senhas e chaves da API do IAM regularmente, a cada 90 dias ou menos. Além de uma boa prática de engenharia de segurança, essa também é uma exigência de conformidade. Por exemplo, a Seção 3.6.4 da certificação PCI-DSS afirma "Verifique se os procedimentos de gerenciamento de chaves incluem um período de criptografia definido para cada tipo de chave em uso e defina um processo para alterações de chaves ao final do(s) período(s) de criptografia definido(s)."
  • Não codifique diretamente as credenciais sigilosas do IAM diretamente no software ou em documentos amplamente acessíveis. Os exemplos incluem código carregado por upload no GitHub, apresentações ou documentos disponíveis na internet. Há casos conhecidos e amplamente difundidos de hackers que violam as contas na nuvem de clientes usando credenciais inadvertidamente divulgadas em sites públicos. Quando aplicativos de software precisam acessar recursos do Oracle Cloud Infrastructure, a Oracle recomenda que você use 'instance principals'. Se não for viável usar 'instance principals', outras recomendações incluem o uso de variáveis de ambiente do usuário para armazenar credenciais e o uso de arquivos de credenciais armazenados localmente com chaves da API a serem usadas pelo SDK ou pela CLI do Oracle Cloud Infrastructure.
  • Não compartilhe credenciais do IAM entre vários usuários.
  • Ao federar o log-in na Console por meio do Oracle Identity Cloud Service, os clientes podem usar a autenticação multifator (MFA) para usuários do IAM, especialmente administradores.

Ao rotacionar chaves da API, verifique se as chaves rotacionadas estão funcionando conforme esperado antes de desativar as chaves mais antigas. Para obter informações sobre como gerar e fazer o upload de chaves da API do IAM, consulte Chaves e OCIDs Necessários. As etapas de alto nível na rotação de uma chave da API são:

  1. Gere e faça o upload de uma nova chave da API.
  2. Atualize os arquivos de configuração do SDK e da CLI com a nova chave da API.
  3. Verifique se as chamadas do SDK e da CLI estão funcionando corretamente com a nova chave.
  4. Desative a antiga chave da API. Use ListApiKeys para listar todas as chaves ativas da API.