Usuários e Grupos do Serviço IAM

Saiba como gerenciar efetivamente usuários e grupos para maior segurança.

• Crie um usuário do IAM para todos na organização do cliente que precisam de acesso aos recursos. Não compartilhe contas de usuário do IAM entre vários usuários, especialmente aqueles que têm contas administrativas. O uso de usuários distintos do IAM permite impor o acesso com menos privilégios para cada usuário e capturar suas ações em logs de auditoria.
• A unidade de administração recomendada é grupos do IAM, o que facilita o gerenciamento e o controle das permissões de segurança (ao contrário de usuários individuais). Crie grupos do IAM com permissões para executar tarefas comumente necessárias (por exemplo, administração de redes, administração de volumes) e designe usuários a esses grupos conforme necessário. As permissões do IAM podem ser usadas para permitir que um grupo acesse recursos em vários compartimentos de uma tenancy.
• Analise periodicamente a associação de usuários do IAM como membros de grupos do IAM e remova os usuários do IAM dos grupos aos quais não precisam de acesso. Usar a associação como membros do grupo para gerenciar o acesso dos usuários funciona muito bem quando há um número cada vez maior de usuários.
• Desative usuários do IAM que não precisam de acesso aos recursos de tenancy. A exclusão de um usuário do IAM remove o usuário permanentemente. Você pode desativar temporariamente um usuário do IAM fazendo o seguinte:
  • Rotacione a senha do usuário e descarte-a.
  • Remova todas as permissões da tenancy do usuário removendo membros de todos os grupos.