验证
用户需要身份证明才能向 Oracle Cloud 验证自己。用户可以生成和旋转自己的身份证明。此外,租户安全管理员可以重置租户中任何用户的身份证明。
用户可以具有以下凭据:
- 用于登录到 Oracle Cloud Infrastructure 的 Web 控制台的控制台口令。
- 用于发送 API 请求的 API 签名密钥(采用 PEM 格式)。
- 用于通过第三方 Api 进行验证的验证标记。
例如,在使用 Recovery Manager (RMAN)将数据库系统数据库备份到 Oracle Cloud Infrastructure 对象存储时,用户需要验证 Swift 客户端的验证标记。
- 用于将 Amazon S3 兼容 API 与 Oracle Cloud Infrastructure 对象存储一起使用的客户密钥。
- 使用电子邮件传送服务的 SMTP 身份证明。
使用以下控件可以安全地设置和管理租户中的用户帐户:
| 是否完成? | 安全控制和建议 |
|---|---|
 |
标识需要访问 Oracle Cloud Infrastructure 的用户。 |
|
使用唯一的复杂口令。 |
|
每隔 90 天或更短时间执行密码旋转和 API 密钥。 |
|
确保身份证明不在任何软件中编码或在任何文档中列出。 |
|
不跨多个用户共享用户帐户。 |
|
实施机制以在员工离开组织时立即禁用租户访问。 |
|
定期查看 IAM 组中用户的成员资格,并从他们不再需要访问的组中删除用户。 |
|
仅在紧急情况下使用租户管理员身份证明,不会用于日常工作。 |
|
定期查看管理员活动的审核日志。 |
|
使用多因素验证(MFA)。 |
|
监视默认租户管理员访问的审计日志以及对管理员组的更改以提醒任何未经授权的操作。 |