管理标识和授权策略
使用 Oracle Cloud Infrastructure Identity and Access Management 可以控制谁有权访问云资源。访问和授权的身份证明包括 API 密钥、登录口令、联合登录和验证标记。使用适当的身份证明来保护您的云帐户和资源。Oracle 鼓励您在云中实施身份管理时采用以下建议。
强制使用多因子验证 (MFA)
企业架构师、安全架构师、应用架构师
将对资源的访问权限限制为仅通过时间限制的一次性口令进行验证的用户。
您应该在用户级别要求这样做,并通过 IAM 在资源级别强制执行此操作。您可以为访问策略中允许访问资源的资源强制执行 MFA。例如,当
GroupA
中的用户管理属于任何区间中的实例系列的资源时,以下策略将强制执行 MFA。allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'
不要将租户管理员帐户用于日常操作
企业架构师、安全架构师、应用架构师
应创建租户中的服务级别管理员以进一步限制管理访问。服务级别管理员只能管理特定服务或域的资源。
例如,以下策略允许
VolumeAdmins
组中的用户仅管理块卷系列中的资源。Allow group VolumeAdmins to manage volume-family in tenancy
限制租户管理员组的管理能力
企业架构师、安全架构师
管理员权限应遵循最少权限的规则,因此管理员组或管理员策略附件的成员资格应按需要限制。
以下策略允许 UserAdmins
组中的用户仅检查租户中的组。
Allow group UserAdmins to inspect groups in tenancy
防止意外或恶意删除(和更改)访问策略
企业架构师、安全架构师、应用架构师
例如,以下策略只允许
PolicyAdmins
组中的用户创建策略,但不允许编辑或删除策略。
Allow group PolicyAdmins to manage policies in tenancy where
request.permission='POLICY_CREATE'
联合 Oracle Cloud Infrastructure Identity and Access Management
企业架构师、安全架构师、应用架构师
在可能和相关的情况下,将 Oracle Cloud Infrastructure Identity and Access Management 与组织的集中身份提供者 (IdP) 联合。
- 创建一个联合管理员组,该组映射到联合 IdP 的管理员组,并受与联合 IdP 的管理员组相同的安全策略的控制。
- 创建本地用户并将用户分配给默认的
Administrators
IAM 组。将此用户用于分组类型方案(例如,无法通过联盟访问资源)。 - 定义策略以防止联合管理员 IAM 组修改默认租户
Administrators
组的成员资格。 - 通过监视审计日志以了解租户管理员的操作和对
Administrators
组的更改来检测未经授权的访问和操作。