Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Automatize o Gerenciamento de Recursos de Usuários do Domínio de Identidade do OCI IAM usando Tags e Funções do OCI

Introdução

Como prática recomendada de segurança, os clientes estão procurando desativar os recursos não utilizados dos usuários do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Isso os ajudará a evitar qualquer ataque por meio de credenciais não padrão, como chaves de API, token de autenticação etc.

Os recursos do usuário são gerenciados por um administrador nos detalhes do usuário. Cada usuário pode ver seus recursos, mas apenas um administrador pode ativá-los ou desativá-los. Os recursos do usuário disponíveis para usuários federados são:

• Senha da Console
• chave de assinatura de API
• Tokens de autenticação
• Credenciais SMTP (Simple Mail Transfer Protocol)
• Chaves secretas do cliente
• Credenciais do cliente OAuth 2.0

Observação: O recurso de senha da console não está disponível para usuários federados. Os usuários federados são autenticados na console por meio de seu Provedor de Identidades (IdP), onde as senhas de acesso são gerenciadas.

Por padrão, esses recursos serão ativados quando você provisionar novos usuários, permitindo que os usuários criem essas credenciais para eles mesmos. Para obter mais informações sobre essas credenciais de usuário, consulte Como Trabalhar com Credenciais de Usuário.

Essa solução ajuda a automatizar o gerenciamento de recursos de usuários novos ou existentes com a ajuda de tags. Essa automação tem dois modos:

• Modo em Massa: Processe todos os usuários em um domínio, sem carga útil de entrada. Isso pode ser executado ou chamado com o OCI Resource Scheduler ou manualmente.

• Modo Único: Execute a função automaticamente em um único usuário com base nos eventos de criação (evento criado pelo usuário) gerados com a regra de evento configurada.

A integração com o Serviço OCI Events garante que os recursos sejam gerenciados adequadamente para novos usuários com base nas tags fornecidas durante a criação.

Objetivos

• Implemente uma solução nativa para gerenciar os recursos de usuários do domínio de identidades do OCI IAM com base nas tags e na função.

Pré-requisitos

• Acesso a uma tenancy do OCI.

• Privilégios para gerenciar regras do OCI Events Service, Oracle Applications, OCI Functions e OCI Tagging.

Tarefa 1: Configurar as Políticas Necessárias e as Permissões do OCI IAM

Cada componente desta solução deve ter acesso aos recursos do OCI com os quais interage. Para seguir este tutorial, as permissões a seguir são necessárias.

• Políticas de Usuário: Gerencie as regras do Serviço OCI Event e o OCI Functions.

• Política de Serviço: Conceda a permissão de função para gerenciar os recursos do usuário. É necessário um grupo dinâmico.

Para obter mais informações sobre políticas detalhadas, consulte Detalhes do Serviço Events e Detalhes do serviço Functions.

Tarefa 2: Definir Namespace de Tag, Chaves de Tag e Valores de Tag

As tags são a base desta solução, portanto, o namespace de tag e a chave de tag necessários devem estar no local.

Tarefa 2.1: Criar Namespace de Tag

1. Vá para a Console do OCI, navegue até Governança e Administração, Gerenciamento de Tenancy e clique em Namespaces de Tag.

2. É exibida uma lista dos namespaces de tag no compartimento atual. Clique em Criar Namespaces de Tag.

3. Na página Criar Namespace de Tag, digite as informações a seguir.

   • Criar no Compartimento: Selecione o compartimento no qual deseja criar a definição do namespace.
   • Nome da Definição do Namespace: Informe um nome exclusivo para esse conjunto de tags. O nome deve ser exclusivo na sua tenancy. O namespace de tag não faz distinção entre maiúsculas e minúsculas. Você não pode alterar esse valor posteriormente. Evite digitar informações confidenciais.
   • Descrição: Informe uma descrição amigável. Você poderá alterar esse valor posteriormente, se desejar.

4. Clique em Criar Namespace de Tag.

Tarefa 2.2: Criar Definição de Chave de Tag

1. Na página Namespaces de Tag, clique no namespace de tag ao qual você deseja adicionar a definição de chave de tag.

2. Na página Detalhes do Namespace de Tag, clique em Criar Definição de Chave de Tag.

3. Na página Criar Definição de Chave de Tag, digite as informações a seguir.

   • Chave de Tag: Informe a chave. O valor deve ser api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentials e smtp_credentials.
   • Descrição: Informe uma descrição amigável.
   • Rastreamento de Custos: Selecione para ativar essa tag para rastreamento de custos. Você pode usar até 10 tags de rastreamento de custos em sua tenancy.

4. Em Tipo de Valor da Tag, selecione Uma Lista de Valores e informe Sim em Valores em que esses recursos são necessários, caso contrário, eles serão desativados para um usuário.

5. Clique em Criar Definição de Chave de Tag.

Tarefa 2.3: Adicionar Tags ao Usuário

1. Adicione tags ao usuário existente.

   1. Vá para a Console do OCI, navegue até Identidade e Segurança, Identidade e clique em Domínios.

   2. Uma lista dos domínios em seu compartimento atual será exibida. Selecione o domínio e clique em Usuários. Localize e clique no usuário que você deseja adicionar a tag.

   3. No menu drop-down Mais Ações, clique em Adicionar Tags.

   4. Na página Adicionar Tags, especifique as informações a seguir.

      • Selecione Namespace de Tag.
      • Selecione Chave de Tag.
      • Em Valor, selecione um na lista.
      • Para aplicar outra tag, clique em Adicionar Tag.

   5. Quando terminar de adicionar tags, clique em Adicionar Tags.

2. Adicionar ao novo usuário. Adicione tags de Mostrar opções avançadas ao criar um novo usuário.

Observação: adicione tags para todos os recursos que você deseja ativar.

Tarefa 3: Desenvolver e Implantar Funções do OCI

A função lerá as tags nos usuários e tomará medidas sobre a capacidade. Para isso, ele executa as seguintes operações:

• Leia o namespace de tag (tag_namespace) na configuração da função.

• Leia os recursos a serem gerenciados (manage_capability) na configuração da função.

• Leia a entrada do recurso de função (function_feature) na configuração da função.

• Leia os domínios de destino (domain_ocids) na configuração da função (no caso do modo em massa).

• Verifique as tags nos usuários.

• Desative ou ative o recurso para o usuário de acordo com as tags ausentes.

Faça download do código de função em GitHub, personalize o código e implante-o.

1. Faça download do repositório GitHub a partir daqui: iam-user-capability-management.

2. Siga as instruções mencionadas na função Criar e Implantar OCI.

Para obter mais informações, consulte Criando funções.

Tarefa 4: Criar Programação no Programador de Recursos do OCI

1. Vá para a Console do OCI, navegue até Governança e Administração, Programador de Recursos e clique em Programações.

2. Clique em Criar uma Programação.

3. Em Informações básicas, digite o nome da programação, a descrição da programação e a ação a ser executada como iniciar e clique em Próximo.

4. Em Recursos, selecione seu compartimento e função de função e clique em Próximo.

5. Em Programar, selecione Diariamente e configure outros parâmetros de acordo com seu requisito.

   • Repetir a cada: Informe com que frequência você gostaria que a programação fosse executada ou use o menu para selecionar um intervalo. O valor mínimo é 1. O valor máximo é 99.

   • Hora Inicial: Digite a hora em horas e minutos no formato 24 horas.

6. Clique em Próximo e verifique as informações. Clique em Criar Programação.

Isso executará sua função em um intervalo programado. Para obter mais informações, consulte Criando agendamentos.

Tarefa 5: Configurar a Regra de Eventos no Serviço de Eventos do OCI

1. Vá para a Console do OCI, navegue até Observabilidade e Gerenciamento, Events Service e clique em Regras.

2. Selecione o compartimento raiz e clique em Criar Regra.

3. Informe o Nome para Exibição e a Descrição.

4. Na seção Condições da Regra, especifique as informações a seguir.

   • Condição: Selecione Tipo de Evento.
   • Nome do Serviço: Selecione Identidade.
   • Tipo de Evento: Selecione Criação do Usuário.

5. Na seção Ações, insira as informações a seguir.

   • Tipo de Ação: Selecione Funções.
   • Selecione Aplicativo da Função e Função.

6. Clique em Criar Regra.

Isso chamará a função quando qualquer novo usuário for criado. Para obter mais informações, consulte Criando uma Regra de Eventos.

Observação: A ativação de logs para regras de eventos e aplicativos de função fornecerá recursos de monitoramento adicionais.

Links Relacionados

• Ativar notificação de expiração de credencial para OCI Identity and Access Management

• Ativar a Rotação Automática das Credenciais do Oracle Cloud Infrastructure Identity and Access Management

Confirmações

• Autor - Bhanu Prakash Lohumi

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24403-01

January 2025

Copyright ©2025,

Oracle e/ou suas empresas afiliadas.