管理識別和授權原則
Oracle Cloud Infrastructure Identity and Access Management 可讓您控制能夠存取您雲端資源的人員。存取與授權的證明資料包括 API 金鑰、登入密碼、聯合登入以及認證記號。使用適當的證明資料保護您的雲端帳戶和資源。Oracle 建議您在雲端實行識別管理時採取下列建議。
強制使用多重因素認證 (MFA)
企業規劃總監、安全規劃總監、應用程式規劃總監
將資源的存取權限僅限於透過時間限制的一次性密碼認證的使用者。
您必須在使用者層次執行此動作,並透過 IAM 在資源層次強制實行此動作。您可以針對存取原則中允許存取資源的資源強制實行 MFA。例如,當
GroupA 中的使用者管理任何區間中屬於執行處理系列的資源時,下列原則會強制實行 MFA。allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'請勿使用租用戶管理員帳戶進行日常作業
企業規劃總監、安全規劃總監、應用程式規劃總監
必須建立租用戶中的服務層次管理員,才能進一步限制管理存取權。服務層次管理員應該只管理特定服務或網域的資源。
例如,下列原則可讓
VolumeAdmins 群組中的使用者只管理區塊磁碟區系列中的資源。Allow group VolumeAdmins to manage volume-family in tenancy限制租用戶管理員群組的管理員功能
企業規劃總監、安全規劃總監
管理員權限應遵循最低權限規則,因此「管理」群組的成員身分或「管理」原則的附件應視情況限制。
下列原則允許 UserAdmins 群組中的使用者只檢查租用戶中的群組。
Allow group UserAdmins to inspect groups in tenancy防止意外或惡意刪除 (以及變更) 存取原則
企業規劃總監、安全規劃總監、應用程式規劃總監
例如,下列原則只允許
PolicyAdmins 群組中的使用者建立原則,不允許編輯或刪除原則。
Allow group PolicyAdmins to manage policies in tenancy where
request.permission='POLICY_CREATE'聯合 Oracle Cloud Infrastructure Identity and Access Management
企業規劃總監、安全規劃總監、應用程式規劃總監
如果可能且相關,請將 Oracle Cloud Infrastructure Identity and Access Management 與您組織的集中身分識別提供者 (IdP) 聯合在一起。
- 建立對應至同盟 IdP 之管理員群組的同盟管理員群組,並由與同盟 IdP 之管理員群組相同的安全原則所控制。
- 建立本機使用者,並將該使用者指派給預設的
AdministratorsIAM 群組。將此使用者用於緊急類別案例 (例如,無法透過聯合項目存取資源)。 - 定義防止同盟管理員 IAM 群組修改預設租用戶
Administrators群組之成員身分的原則。 - 監督租用戶管理員和
Administrators群組變更之作業的稽核日誌,以偵測未授權的存取和作業。