Protegendo o Serviço Tagging
Este tópico fornece informações de segurança e recomendações para o Oracle Cloud Infrastructure Tagging.
Responsabilidades de Segurança
Para usar o Tagging de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.
A Oracle é responsável pelos seguintes requisitos de segurança:
- Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:
- Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
Tarefas iniciais de segurança
Use esta lista de verificação para identificar as tarefas que você executa para proteger o serviço Tagging em uma nova tenancy do Oracle Cloud Infrastructure.
| Tarefa | Mais Informações |
|---|---|
| Usar políticas de IAM para conceder acesso a usuários e recursos | Políticas do serviço IAM |
| Gerenciar credenciais usando segredos | confidencialidade |
Políticas do Serviço IAM
Use políticas para limitar o acesso ao serviço Tagging.
Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.
Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.
Recomendamos que você conceda permissões MANAGE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões MANAGE aos administradores de tags.
O exemplo a seguir permite que um usuário do grupo gerencie um namespace de tag na tenancy.
Allow group GroupA to manage tag-namespaces in tenancyUm usuário do grupo A tem as permissões necessárias para gerenciar instâncias em um compartimento. Para que o usuário possa aplicar uma tag a uma instância em um compartimento, adicione a instrução a seguir à política do grupo A. Esta instrução concede ao grupo o acesso ao referido namespace.
Allow group A to use tag-namespaces in compartment CompartmentA where target.tag-namespace.name='Finance'manage tag-defaultspara acessar o compartimento no qual você deseja adicionar o padrão de tag.use tag-namespacespara acessar o compartimento em que o namespace de tag reside.inspect tag-namespacespara acessar a tenancy.
Para que um grupo chamado GroupA possa adicionar um padrão de tag a um compartimento chamado CompartmentA no qual o conjunto de namespaces de tag reside, grave uma política com as instruções a seguir.
Allow group GroupA to manage tag-defaults in compartment CompartmentA
Allow group GroupA to use tag-namespaces in compartment CompartmentA
Allow group GroupA to inspect tag-namespaces in tenancyPara obter mais informações sobre políticas de Tag e exibir mais exemplos, consulte Detalhes do Serviço IAM sem Domínios de Identidades.
Controle de Acesso
Além de criar políticas do serviço IAM, bloqueie o acesso aos recursos de destino ou ao recurso solicitante usando o controle de acesso baseado em tag. O controle de acesso baseado em tag fornece outra camada de segurança restringindo e concedendo acesso a um grupo específico de usuários ou recursos em um compartimento.
Para saber mais sobre esse recurso no serviço Tagging, consulte Usando Tags para Gerenciar o Acesso
confidencialidade
Não use tags como um método de armazenar informações confidenciais ou confidenciais. Use o serviço Vault para criptografar e gerenciar segredos.