附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值取代為您雲端環境特定的值。

使用標記和 OCI 函數自動化 OCI IAM 識別網域使用者功能管理

簡介

作為安全性最佳做法，客戶希望停用 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 使用者未使用的功能。這將有助於他們避免透過非標準證明資料 (例如 API 金鑰、認證記號等等) 攻擊。

使用者功能是由管理員在使用者的詳細資訊中管理。每個使用者都可以看到其功能，但只有管理員可以啟用或停用它們。同盟使用者可用的使用者功能包括：

• 主控台密碼
• API 簽署金鑰
• 認證權杖
• 簡單郵件傳輸協定 (SMTP) 證明資料
• 客戶秘密金鑰
• OAuth 2.0 從屬端證明資料

注意：聯合使用者無法使用主控台密碼功能。同盟使用者透過其管理登入密碼的身分識別提供者 (IdP) 向主控台進行認證。

當您佈建新使用者時，預設會啟用這些功能，讓使用者可以自行建立這些證明資料。如需有關這些使用者憑證的更多資訊，請參閱使用使用者憑證。

此解決方案在標記的幫助下，自動管理現有或新使用者的功能。此自動化有兩種模式：

• 大量模式：處理網域中的所有使用者，而不處理任何輸入有效負載。這可以使用 OCI Resource Scheduler 執行或呼叫，也可以手動執行。

• 單一模式：根據使用設定的事件規則產生的建立事件 (使用者建立的事件)，在單一使用者上自動執行函數。

與 OCI 事件服務整合可確保根據建立時所提供的標記，為新使用者妥善管理功能。

目標

• 導入原生解決方案以根據標記和功能管理 OCI IAM 識別網域使用者功能。

必要條件

• 存取 OCI 租用戶。

• 管理 OCI 事件服務規則、Oracle Applications、OCI 函數以及 OCI 標記的權限。

作業 1：設定必要的原則和 OCI IAM 權限

此解決方案的每個元件都必須能夠存取與其互動的 OCI 資源。若要遵循此自學課程，則需要下列權限。

• 使用者原則： 管理 OCI 事件服務規則和 OCI 函數。

• 服務原則：授與管理使用者功能的功能權限。需有動態群組。

如需有關詳細原則的詳細資訊，請參閱事件服務的詳細資訊和函數的詳細資訊。

作業 2：定義標記命名空間、標記索引鍵以及標記值

標記是此解決方案的基礎，因此必須備妥必要的標記命名空間和標記索引鍵。

作業 2.1：建立標記命名空間

1. 移至 OCI 主控台，瀏覽至治理與管理、租用戶管理，然後按一下標記命名空間。

2. 就會顯示目前區間中的標記命名空間清單。按一下建立標記命名空間。

3. 在建立標記命名空間頁面中，輸入下列資訊。

   • 在區間中建立：選取要在其中建立命名空間定義的區間。
   • 命名空間定義名稱：輸入這組標記的唯一名稱。名稱在您的租用戶內必須是唯一的。標記命名空間不區分大小寫。您無法稍後變更此值。請避免輸入機密資訊。
   • 摘要：輸入易記的摘要。若要變更此值，請稍後再進行。

4. 按一下建立標記命名空間。

作業 2.2：建立標記索引鍵定義

1. 在標記命名空間頁面中，按一下您要新增標記索引鍵定義的標記命名空間。

2. 在標記命名空間詳細資訊頁面中，按一下建立標記索引鍵定義。

3. 在建立標記索引鍵定義頁面中，輸入下列資訊。

   • 標記索引鍵：輸入索引鍵。值應為 api_keys 、console_password 、auth_tokens 、customer_secret_keys 、db_credentials 、o_auth2_client_credentials 及 smtp_credentials 其中之一。
   • 摘要：輸入易記的摘要。
   • 費用追蹤：選取即可啟用此標記以進行費用追蹤。您的租用戶最多可以使用 10 個費用追蹤標記。

4. 在標記值類型中，選取值清單，然後在值中輸入是，其中需要這些功能，否則使用者將會停用這些功能。

5. 按一下建立標記索引鍵定義。

工作 2.3：新增標記至使用者

1. 新增標記至現有使用者。

   1. 移至 OCI 主控台，瀏覽至識別與安全、識別，然後按一下網域。

   2. 就會顯示目前區間中的網域清單。選取網域，然後按一下使用者。尋找並按一下您要新增標記的使用者。

   3. 從其他動作下拉式功能表中，按一下新增標記。

   4. 在新增標記頁面中，輸入下列資訊。

      • 選取標記命名空間。
      • 選取標記索引鍵。
      • 在值中，從清單中選取一個值。
      • 若要套用其他標記，請按一下新增標記。

   5. 完成新增標記時，按一下新增標記。

2. 新增至新使用者。在建立新使用者時，從顯示進階選項新增標記。

備註：為所有您想要啟用的功能新增標記。

作業 3：開發及部署 OCI 函數

此功能將會讀取使用者的標記並針對該功能採取動作。為達到此目的，它會執行下列作業：

• 從函數組態讀取標記命名空間 (tag_namespace)。

• 從函數組態讀取管理 (manage_capability) 的功能。

• 從函數組態讀取函數功能輸入 (function_feature)。

• 從函數組態讀取目標網域 (domain_ocids) (若為大量模式)。

• 檢查使用者的標記。

• 根據遺漏的標記停用或啟用使用者的功能。

從 GitHub 下載函數代碼、自訂程式碼，然後進行部署。

1. 從此處下載 GitHub 儲存區域： iam-user-capability-management 。

2. 依照建立及部署 OCI 函數中所述的指示進行。

如需詳細資訊，請參閱建立函數。

作業 4：在 OCI 資源排程器中建立排程

1. 移至 OCI 主控台，瀏覽至治理與管理、資源排程器，然後按一下排程。

2. 按一下建立排程。

3. 在基本資訊中，輸入排程名稱、排程描述，以及要以開始執行的動作，然後按下一步。

4. 在資源中，選取您的函數區間和函數，然後按一下下一步。

5. 在排程中，選取每日，然後根據您的需求設定其他參數。

   • 重複間隔：輸入排程的執行頻率，或使用功能表選取間隔。最小值為 1。最大值為 99。

   • 開始時間：以 24 小時格式輸入時間 (小時和分鐘)。

6. 按下一步，然後複查資訊。按一下建立排程。

這會在排定的間隔執行您的函數。如需詳細資訊，請參閱建立排程。

作業 5：在 OCI 事件服務中設定事件規則

1. 移至 OCI 主控台，瀏覽至可觀測性與管理、事件服務，然後按一下規則。

2. 選取根區間，然後按一下建立規則。

3. 輸入顯示名稱和描述。

4. 在規則條件區段中，輸入下列資訊。

   • 條件：選取事件類型。
   • 服務名稱：選取識別。
   • 事件類型：選取使用者建立。

5. 在動作區段中，輸入以下資訊。

   • 動作類型：選取函數。
   • 選取函數應用程式和函數。

6. 按一下建立規則。

這會在建立新使用者時呼叫函數。如需詳細資訊，請參閱建立事件規則。

注意：啟用事件規則和函數應用程式的日誌將會提供額外的監督功能。

相關連結

• 啟用 OCI Identity and Access Management 的證明資料到期通知

• 啟用自動輪換 Oracle Cloud Infrastructure Identity and Access Management 證明資料

認可

• 作者 - Bhanu Prakash Lohumi

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Automate OCI IAM Identity Domain Users Capability Management using Tags and OCI Functions

G24405-01

January 2025

Copyright ©2025,

Oracle 和 (或) 其關係企業。