Compartimentos e Tenancy do Serviço IAM
Saiba como usar compartimentos para aprimorar a segurança, bem como recomendações para gerenciar os administradores de uma tenancy.
- Os compartimentos são exclusivos do serviço IAM e oferecem um mecanismo que permite a um cliente empresarial atender às suas necessidades centrais usando uma única conta ou tenancy. Essa conta ou tenancy oferece visibilidade e controle central totais, permitindo também que a conta ou a tenancy seja subdividida para atender às necessidades de iniciativas, projetos e equipes constituintes.
- Por motivos de segurança e governança, os usuários só devem ter acesso aos recursos necessários. Por exemplo, os usuários da empresa que trabalham em um projeto ou que pertencem a uma unidade de negócio devem ter acesso somente aos recursos pertencentes ao projeto ou à unidade de negócio. Os compartimentos fornecem um mecanismo efetivo para agrupar recursos da tenancy com base em seus privilégios de acesso e autorizar grupos de usuários a acessar os compartimentos conforme necessário. No exemplo acima, um compartimento pode ser criado para incluir todos os recursos pertencentes a uma unidade de negócio e autorizar apenas os membros da unidade de negócio a acessar o compartimento. Da mesma forma, o acesso de um grupo a um compartimento poderá ser revogado quando não for necessário.
- Tenha em mente o seguinte ao criar um compartimento e designar recursos:
- Cada recurso deve pertencer a um compartimento.
- Um recurso pode ser redesignado a outro compartimento após ser criado. Consulte Gerenciando Compartimentos.
- Um compartimento pode ser excluído após ser criado. Consulte Gerenciando Compartimentos.
- As tags de recursos fornecem uma maneira de agregar logicamente recursos distribuídos entre vários compartimentos. Por exemplo, os recursos da tenancy podem ser marcados como
test
ouproduction
, dependendo de seu respectivo uso. Para obter mais informações sobre tags de recursos (tags de formato livre e definidas), consulte Tags de Recursos. - Cada tenancy tem um grupo de administradores padrão. Esse grupo pode executar qualquer ação em todos os recursos de uma tenancy (ou seja, eles têm acesso-raiz à tenancy). A Oracle recomenda que você mantenha o grupo de administradores da tenancy o menor possível. Algumas recomendações de segurança sobre o gerenciamento de administradores de tenancies:
- Tenha políticas de segurança concedendo associações como membros do grupo de administradores da tenancy estritamente conforme necessário.
- Os administradores da tenancy devem usar senhas de alta complexidade, juntamente com MFA, e rotacionar periodicamente suas senhas.
- Após a configuração da conta, a Oracle recomenda que você não use a conta de administrador da tenancy para operações diárias. Em vez disso, crie usuários e grupos com menos privilégios.
- Embora as contas do administrador não sejam usadas para operações diárias, elas ainda são necessárias para lidar com cenários de emergência que afetam a tenancy e as operações do cliente. Especifique procedimentos de alta prioridade seguros e auditáveis para o uso de contas de administrador nessas emergências.
- Desative o acesso de administração da tenancy imediatamente quando um funcionário sair da organização.
- Já que a associação como membro do grupo de administradores da tenancy é restrita, a Oracle recomenda que você crie políticas de segurança que impeçam o bloqueio da conta do administrador (por exemplo, se o administrador da tenancy sair da empresa e nenhum funcionário atual tiver privilégios de administrador).