Identity and Access Management 常見問題

一般問題

什麼是 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)？

OCI IAM 是 OCI 的原生服務，提供企業級的身分識別和存取管理功能，例如強式、調適型認證、使用者生命週期管理 (LCM) 以及企業應用程式的單一登入 (SSO)。OCI IAM 會部署為 OCI 中的識別網域。包含的網域可讓組織管理其 Oracle Cloud 服務 (網路、運算、儲存等) 和 Oracle SaaS 應用程式的存取權。客戶可以選擇升級或建立其他識別網域，以因應其他使用案例，例如管理對非 Oracle 應用程式的人力存取、允許消費者存取面向客戶的應用程式，或將 IAM 內嵌至自訂開發的應用程式。

什麼是識別網域？

每個 OCI IAM 識別網域都是獨立的身分識別和存取管理解決方案，可用來處理各種 IAM 使用案例。例如，您可以使用 OCI IAM 識別網域來管理員工在眾多雲端和內部部署應用程式的存取，從而為終端使用者提供安全驗證、輕鬆管理權益，以及順暢的 SSO。您可能也想要建立識別網域，以便為業務合作夥伴存取供應鏈或訂購系統。您也可以使用識別網域為面向消費者的應用程式啟用 IAM，並允許消費者使用者執行自行註冊、社群登入和 (或) 使用條款同意。識別網域代表可容納眾多 IAM 使用案例和案例的全方位識別即服務 (IDaaS) 解決方案。

我應該選擇哪種類型的識別網域？

• 免費識別網域：每個 OCI 租用戶都包含一個用於管理 OCI 資源 (網路、運算、儲存等) 存取的免費層預設 OCI IAM 識別網域。如果您只是想要管理 OCI 資源的存取權，可以使用內含的預設網域。它提供一組強大的 IAM 功能，可用來管理對 Oracle Cloud 資源的存取。視安全模型和團隊而定，客戶可以選擇保留此網域供 OCI 管理員使用。
• Oracle Apps 識別網域：許多 Oracle Cloud 應用程式 (HCM、CRM、ERP、產業應用程式等) 可能包括透過 Oracle Apps 網域使用 OCI IAM。這些網域包含在訂閱的 Oracle 應用程式中，並且提供強大的 IAM 功能來管理對 Oracle Cloud 和 SaaS 服務的存取。客戶可以選擇將所有員工新增至此網域，以啟用 Oracle Cloud 應用程式服務的 SSO，並且可以使用此網域管理其部分或全部 OCI 資源的存取權。
• Oracle Apps Premium 識別網域：如果您想要擴充具有完整企業功能的 Oracle Apps 網域，以管理未提供 SaaS (例如 Oracle E-Business Suite 或 Oracle) 之 Oracle 應用程式的存取權無論是內部部署還是 OCI 代管的資料庫，Oracle Apps Premium 網域都提供一組完整的 OCI IAM 功能，可搭配可以在混合雲環境中部署的 Oracle 目標使用。這是功能完整的低成本服務，但僅限於與 Oracle 目標搭配使用。
• 外部識別網域：外部識別網域為非員工提供一組完整的 OCI IAM 功能和功能，例如存取零售網站的消費者、允許公民存取的政府或允許業務合作夥伴存取的企業。應用程式的目標沒有任何限制。但是，某些企業功能通常在非員工案例中並不有用，例如 App 閘道和佈建橋接器。外部網域包括支援社群登入、自行註冊、使用條款同意，以及設定檔 / 密碼管理。
• 進階識別網域：進階識別網域提供一組完整的 OCI IAM 功能和功能，沒有任何限制可鎖定哪些應用程式。進階網域可作為企業 IAM 服務，管理跨雲端和內部部署應用程式的員工或人力存取，從而為終端使用者提供安全驗證、輕鬆管理權益，以及順暢的 SSO。

是否可以在單一識別網域中混合員工和非員工？

編號 OCI IAM 將這些視為個別使用者群體，用於授權。不過，您可以使用相同的 OCI IAM 服務來管理可容納員工和非員工 (合作夥伴、關係企業、消費者等) 的兩個或多個網域。您可以使用多個網域來存取相同的應用程式，但非員工的規則和安全原則通常與套用至員工的規則和安全原則不同。每個網域都有自己的一組設定值、組態和安全原則，對該使用者群體而言是唯一的。這是為了因應不同使用者群體的一般不同需求而設計。

誰可以存取識別網域？

每個 OCI 租用戶都包含一個管理員群組，提供所有 OCI 資源的完整存取權。請務必瞭解 OCI 管理員群組的所有成員都具備管理 OCI IAM 識別網域的完整存取權。Oracle 建議謹慎使用此群組。您可以透過「管理員角色」(Administrator Roles) 在每個網域內授予管理權限，讓群組之間能夠有不同的職責。請參閱瞭解管理員角色瞭解詳細資訊。

OCI IAM 是否提供高可用性和 (或) 災難復原？

每個 OCI 區域內都有多個可用性網域 (AD) 或容錯域 (FD)，在單一 AD 區域中。AD 和 FD 是提供類似的功能，但 FD 實際上比 AD 更接近。識別網域會在每個提供高可用性的區域 (跨 AD/FD 兩個) 中部署備援安裝。OCI IAM 識別網域也透過運用高效能資料複寫的主動 - 被動方法提供跨區域災害復原 (DR)。這會在整個 OCI 區域無法使用時，為識別網域提供可靠的資料復原。此 DR 是透過單一 URL 所提供，讓應用程式能夠通透。

Oracle Identity and Access Management 的關鍵詞語和概念為何？

IAM 的主要概念是：

• 帳戶或租用戶 - 當您註冊 OCI 時，Oracle 會為您的公司建立一個租用戶，這是 OCI 內的隔離分割區，您可以在其中建立、組織及管理您的雲端資源。這有時稱為 OCI 帳戶。
• 區間 - OCI 帳戶內用於 Oracle Cloud 資源的邏輯容器。管理員可以在 OCI 帳戶內建立一或多個區間，以組織及管理資源。例如，區間可以用來在不同類型的管理員 (網路、運算、儲存等) 之間強制實行權責區分。
• 根區間 - OCI 帳戶中的最上層區間。佈建帳戶後，將會自動為您建立根區間。
• 識別網域 - 識別網域代表在 OCI 中植入的使用者，以及關聯的組態和安全設定值。每個帳戶都包含一個預設的識別網域，讓客戶能夠管理對 OCI 資源的存取。客戶可以根據其特定需求選擇建立其他識別網域。識別網域是在區間內建立，而管理網域的存取權會與區間權限連結。您可以撰寫 OCI 存取原則，讓指定區間 / 網域中的使用者能夠存取其他區間中的資源。
• 使用者 - 可認證的個體。使用者可以是個人或機器帳戶。每一位使用者在您的帳戶中均有唯一名稱和全域的唯一識別碼。使用者可以取得密碼來存取 Web 主控台和金鑰，以便透過 API 存取服務。
• 群組 - 一組使用者。群組用於簡化存取管理。例如，軟體開發人員可歸類為「開發人員」群組的成員，如此便能讀取及 / 或修改程式碼。單一使用者可以是多個群組的成員。
• 原則 - 指定誰可以存取哪些 OCI 資源以及他們擁有哪些權限的文件。原則是由具備自然語言語法的原則敘述句所組成。

Oracle Cloud Infrastructure 的身分識別與存取管理方法為何獨特？

透過 OCI IAM，您可以在所有 Oracle Cloud 和 Cloud Application 服務中運用單一模型進行驗證和授權。OCI IAM 讓組織可以輕鬆管理各種規模的存取，從處理單一專案的人員，到擁有許多群組同時處理多個專案的大型公司，全都位於單一帳戶中。資源管理與授權可以按帳戶等級或區間等級進行，同時允許集中稽核與計費。OCI IAM 是從基礎開始建置的，可讓您強制實行最低特權的安全原則；依照預設，新使用者不允許對任何資源執行任何動作。管理員可為每一名使用者授予適當的存取權限。

除了管理 OCI 資源之外，OCI IAM 還提供企業級的 IDaaS 解決方案。只要按一下按鈕，即可部署強大的 IAM 解決方案，以解決員工 / 人力、合作夥伴或消費者使用案例中的許多 IAM 需求。

Oracle Cloud Infrastructure 如何支援多因素認證？

OCI IAM 為多重因素認證 (MFA) 提供廣泛的支援，其中包括行動 MFA 應用程式，提供發送或一次性密碼、支援 FIDO2 認證者，以及支援簡訊、電子郵件、電話通話等功能。OCI IAM 也包括內容感知調適型安全性，可降低風險，而不會為一般使用者體驗帶來障礙。Adaptive Security 會評估使用者的裝置、網路、位置以及過去的行為，為使用者的階段作業建立風險分數。管理員可以設定與特定應用程式或特定使用者群組不同的 MFA 原則。

對於使用者、群組、區間與原則的變更，會基於除錯與稽核的目的進行記錄嗎？

有。為了支援稽核與規範的企業需求，系統會記錄所有變更，您無須額外付費即可使用這些記錄。

如何開始使用 OCI IAM？

OCI IAM 預設會啟用，不需額外付費。您帳戶的第一個使用者是預設的管理員。所有後續使用者均透過 IAM 服務建立，您可以在這項服務中明確授予使用者與指定雲端資源互動的權限。

您可以使用 Console、Rest API 或 SDK，存取 Oracle IAM。

做為 Oracle Cloud Infrastructure 使用者，我要如何重設密碼？

如要重設 Oracle Cloud Infrastructure 密碼，您必須先確認您的帳戶已經設妥關聯的電子郵件地址。請造訪 Oracle Cloud Infrastructure 帳戶的使用者個人資料頁面，並新增只有您才可存取的電子郵件地址。您將會收到一封電子郵件，要求確認要以該電子郵件地址註冊您的帳號。如果您的租戶管理員未停用該電子郵件地址，那您就可以使用該電子郵件地址重設密碼。

區間

區間的設計有哪些問題？

區間是帳戶內的一個安全邏輯容器，用於託管基礎架構資源 (如：運算、儲存和網路)，此外還有一組適用於這些資源的存取管理原則。區間讓您能夠有條不紊地整理雲端資源，以便支援各種使用案例。

以下列出區間常見的幾種用法：

• 區隔軟體開發環境，以便簡化管理。例如：您可能會有專門用於開發、測試與生產的個別區間；或者也可以有專門用於支援藍/綠部署個別的區間。
• 簡化權限管理。例如：您可以為網路資源 (VCN、子網路、網際網路閘道等) 建立個別的區間，然後僅允許網路管理員存取該區間。
• 分別計算各事業單位的使用量，以便正確對這些事業單位的雲端資源使用量收費。
• 最小化特定組別使用者可見的資源集。例如：您可能會為財務團隊建立特定員工才可見的個別區間。

區間可包含多個可用性網域的資源嗎？

有。區間是與可用性網域實體建構不同的資源邏輯群組。每一個區間可包含整個可用性網域的資源。

區間如何用於進行存取控制？

所有原則都會附加到根區間或子區間。每個原則均包含一個或多個遵循此基本語法的原則聲明：

允許區間中的群組使用

原則聲明可讓您透過區間簡化權限管理；例如：您可以寫入允許 HRAdministrators 群組管理 HRCompartment 區間內所有資源的原則。

我可以刪除區間嗎？

是的，您可以刪除區間。

我可以移動整個區間的樹狀圖和所含的資源嗎？

是的，您可以將整個區間樹狀圖及其所含的資源，移至其他主區間。

我可以將資源 (如：運算實例或區塊磁碟區) 從一個區間移到另一個區間嗎？

是的，您可以將資源從一個區間移到另一個區間。

我可以建立區間的階層嗎？

是的，您可以通過進行巢狀來建立區間的階層。在階層式或巢狀區間情況下，系統管理員可以整理資源，並允許較低層級的管理員執行相同的操作，同時透過原則保持完整的可見度與控制。

可以將區間巢狀化至多少層？

巢狀區間的分層上限為六層。

更高級別的區間原則是否適用於子區間？

是的，更高級別區間的原則會往下傳至子區間。

我可以追蹤區間的費用和使用量嗎？

是的，您可以在「我的服務」追蹤區間的費用和使用量。

什麼是根區間？

Oracle Cloud Infrastructure 會針對每一個帳戶自動建立一個名為根區間的最上層區間。根區間的概念類似於檔案系統的根資料夾，而且除了以下幾個特殊的特性之外，根區間的行為模式和子區間完全一樣：

• 由於權限是階層式權限，因此根區間中的群組權限將套用至所有子區間。例如：如果為 NetworkAdmins 群組授予在根區間中管理虛擬雲端網路 (VCN) 的權限，則該群組將可在所有區間中管理 VCN。
• 目前而言，所有使用者和群組均在根區間內建立。可使用原則受取對特定子區間的存取權限。

注意：您目前只能在根區間中建立額外的區間，無法在其他區間中這麼做。

我什麼時候應該在根區間中建立資源？又該在什麼時候於子區間中建立資源？

一般而言，您應在不是根區間的區間中建立資源。最好能在開始建立區間與資源之前，設計好區間的階層。

使用者

Oracle Cloud Infrastructure 主控台使用者可以做什麼？

使用者指的是能夠順利通過 OCI IAM 認證的人員，而具備在帳戶中使用或管理雲端資源之權限的人員。管理員可以在其帳戶中建立一或多個使用者，然後將他們指派至群組，以便將權限授與特定區間中的資源。

誰能夠建立和管理使用者？

您的帳戶佈建完成後，當中會有一個使用者 (預設管理員) 和一個群組 (管理員群組)；預設管理員就是這個群組的成員。此群組 (管理員) 具備您帳戶的完整存取權限。此特殊使用者 (預設管理員) 必須建立其他任一使用者或授予其他使用者權限，以便其建立新的使用者。

新的使用者在建立後具備哪些存取權限？

依預設，新的使用者不具備使用您帳戶中任何資源或服務的權限 - 所有權限均必須明示授予。此做法可讓您遵守最低權限的安全性原則，以便針對每一位使用者授予必要的存取權限。您必須明示新增使用者至現有群組或為其建立新的群組，然後透過原則，為該群組指派適當的權限。

我可以啟用和停用使用者存取權限嗎？

管理員可以停用或鎖定使用者以暫時停用其存取權。他們也可以重設使用者密碼或移除金鑰。

是否可以將密碼設為到期？我要如何輪換憑證？

是，密碼制定原則可讓您設定密碼的到期時間。您也可以透過 REST API 和 SDK 自動重設密碼、變更金鑰或編輯使用者和群組成員身分。

政策

原則是什麼？

原則是一份說明文件，其中包含了授予使用者群組特定權限之描述性原則聲明。原則是以類似於 SQL 的語法編寫，淺顯易懂。原則可強制執行的操作範例如下：

• 系統管理員可以「終止」或「重新啟動」您的裸機運算實例。
• 網路管理員可以完全管理所有網路相關的基礎架構資源。
• IT 管理員可以建立使用者並編輯群組成員資格。

原則允許群組在特定區間中，使用指定類型資源進行某些操作。原則可包含一個對該原則聲明提出更詳盡限制說明的條件式子句 (「where...」)。原則遵循以下語法：

允許在 [where] 區間中執行群組

例如：授予使用運算實例權限的原則聲明如下：

允許開發人員群組在 ProjectA 區間中使用實例

• 「group_name」是獲得權限的群組名稱。
• "verb" 是指要對資源採取的動作，例如：inspect、read、use 或 manage。
• 「resource-type」是獲得權限的雲端資源。resource-type 範例包括：instances、volumes 和 route-tables。
• 「compartment_name」是經過整理的資源區間名稱。
• 「conditions」進一步說明原則聲明的侷限範圍。例如："where request.user.id=target.user.id" 或 "where target.group_name != Administrators"。

如需詳細資訊，請參閱 Oracle Cloud Infrastructure 文件的 OCI IAM 小節。

根區間的原則是否會延續至子區間？

有。在根區間中的原則授予權限會自動為所有子區間授予相同權限。例如：以下原則會為「InstanceAdmins」群組的所有使用者授予權限，以便管理根區間和所有子區間中的實例：

允許 InstanceAdmins 群組管理租戶中的實例

原則可以限定於特定區間嗎？

有。每一個原則均會「附加」至區間。您所選擇的附加位置，決定了可對該原則進行修改或刪除操作的人員。若將原則附加至根區間，則任何具備根區間原則管理權限的人員，均可對該原則進行變更或刪除。若將原則附加至某一區間，則任何具備該區間原則管理權限者，均可變更或刪除該原則。實際上，這便於區間管理員 (即具備區間「管理所有資源」權限的群組) 進行存取，以管理其負責區間的原則，不需再授予管理員用於管理帳戶內原則的邊界存取權限。

我可以在哪裡取得更多關於編寫原則聲明的資訊？

如需更多關於原則與原則聲明的資訊，請參閱 Oracle Cloud Infrastructure 說明文件中的《原則快速入門指南》和《常見原則》。

IAM 拒絕原則

OCI 身分識別與存取管理拒絕原則常見問題

這些常見問題會引導使用者透過 Oracle Cloud Infrastructure (OCI) Identity and Access Management 拒絕原則，讓可以管理原則的使用者明確封鎖動作、增強安全性，以及簡化 OCI 租用戶的存取控制。如需詳細資訊，請參閱 OCI Identity and Access Management 文件。

開始使用 IAM Deny

如何在 OCI 中啟用 IAM Deny 功能？

IAM 拒絕是一種選擇加入功能，必須由租用戶管理員依序前往 OCI 主控台、原則、動作以及原則設定值來明確啟用此功能。一般使用者或原則作者無法啟用此功能。啟用之後，此功能會成為租用戶 IAM 架構的永久部分，而且無法透過 UI 停用。不過，具備寫入拒絕原則能力的租用戶管理員可以撰寫阻隔所有使用者建立或修改拒絕原則的根層次拒絕原則 (預設管理員群組除外)，以有效控制拒絕原則的使用。例如 Deny any-user，可管理租用戶中 target.policy.type='DENY' 的原則

啟用 IAM 拒絕時

• OCI 會在根區間自動植入預設拒絕原則，以確保使用安全。
• 只有預設的管理員群組和啟用 IAM 拒絕的租用戶管理員，才能保留設定及管理拒絕原則的權限。
• 租用戶管理員接著可以更新預設拒絕原則，以允許授權的使用者 (例如 Banking、Investments 和 Compliance 區間中的管理員群組) 在 OCI 主控台中寫入拒絕原則。

OCI Identity and Access Management 拒絕聲明是什麼？

使用 OCI Identity and Access Management deny 敘述句時，您可以撰寫明確的 deny 原則來封鎖 OCI 租用戶中的特定動作，讓 OCI Identity and Access Management 能夠提供精確的存取控制。例如，您可以使用 Deny any-user 檢查租用戶中的所有資源，其中 request.service='streaming' 設定防護軌，以防止跨租用戶存取 OCI Streaming 服務，同時允許透過 allow 敘述句取得其他權限。

IAM 拒絕原則有哪些限制？

IAM 拒絕原則與允許原則共用相同的限制。租用戶最多可有 100 個 IAM 原則物件，每個物件最多可包含 50 個原則敘述句 (拒絕或允許)，但租用戶中所有物件的原則敘述句總數限制為 100 個。

IAM 拒絕原則支援哪些描述詞，它們是新的還是現有的？

IAM 拒絕原則使用現有的描述動詞：管理、使用、讀取及檢查。未導入新的 Meta-verbs。不同於以附加方式授予權限 (例如，管理包含所有較低權限) 的允許陳述式，拒絕陳述式是相減的，僅封鎖指定的權限和階層中的任何更高層級。

例如，管理 Prod 區間中執行處理的 Deny group DevOps 原則只會封鎖管理權限，允許 DevOps 執行使用、讀取和檢查動作。不過，拒絕檢驗會封鎖所有權限，因為這是基本層級權限。

建立和管理原則

哪裡可以寫入 OCI 主控台中的拒絕原則？

拒絕原則會在與允許原則相同的 OCI 主控台介面中建立。依序瀏覽至身分識別與安全性、原則、選取區間，然後使用原則編輯器在允許的同時新增 deny 關鍵字。處理程序不需要個別的介面。

是否有用於拒絕原則的個別原則物件？

否，拒絕原則使用與允許原則相同的原則物件。兩者都是在相同的原則物件內進行管理，可簡化管理。

是否可以在單一 IAM 原則物件中包含拒絕和允許敘述句？

是，您可以將拒絕和允許敘述句結合在一個原則物件中，以進行彈性存取控制。

例如，單一原則可包含 allow 與 deny 陳述式，如下所示：

拒絕「內部群組」在「財務」區間中使用執行處理
允許群組管理員管理「財務」區間中的所有資源

這些原則可讓管理員管理財務區間中的所有資源，同時防止內部人員對實例進行任何寫入作業，從而簡化存取控制。

如何防止可以管理原則的使用者撰寫拒絕原則？

若要防止可以管理原則的原則使用者撰寫拒絕原則，請在根層次建立拒絕原則以封鎖拒絕原則的建立。

範例：管理 target.policy.type='DENY' 租用戶中原則的 Deny group PolicyAdmins

此原則可確保 PolicyAdmins 在仍允許其管理允許原則的同時，無法建立或修改拒絕原則。預設管理員群組會維持免稅狀態，並可視需要寫入拒絕原則。

如何使用 IAM 拒絕原則封鎖整個 OCI 服務？

若要封鎖整個 OCI 服務，請在根區間使用 request.service.name 等條件，針對服務的資源或動作建立拒絕原則。

例如，封鎖整個租用戶的 OCI Streaming 服務

Deny any-user 可檢查租用戶中的所有資源，其中 request.service.name='streaming'

此政策可防止所有存取 OCI Streaming 服務，這對醫療照護等產業的規範非常有用。將原則置於根區間，以確保原則適用於所有區間，減少原則擴散。

如何拒絕群組管理特定區域中的資源？

若要防止群組管理特定區域中的資源，請使用含有 request.region condition 的拒絕原則。

例如，如果您要防止群組在特定區域執行超出唯讀存取權的任何動作，您可以撰寫拒絕原則，如下所示：

Deny group RegionalAdmins 使用租用戶中的所有資源，其中 request.region='sa-saopaulo-1'

此原則會禁止 RegionalAdmins 群組使用聖保羅區域中的資源，但允許使用、讀取及檢查權限。對於符合區域資料駐留法律的金融機構而言，這是理想的選擇。

如何拒絕群組存取特定區間中的運算執行處理？

若要拒絕群組存取特定區間中的運算執行處理，請使用

Deny group DevTeam 可檢查 ProjectX 區間中的執行處理

此原則會封鎖 ProjectX 區間中運算執行處理的所有權限 (檢查、讀取、使用、管理)。例如，技術公司可以使用此功能來防止 DevTeam 存取生產環境執行處理、隔離開發和生產環境以增強安全性。

如何拒絕群組管理特定區間中的物件儲存？

若要拒絕群組管理特定區間中的物件儲存資源，請使用

拒絕 StorageUsers 群組檢查 DataLake 區間中的 object-family

此原則會封鎖 DataLake 區間中物件儲存資源的所有權限 (檢查、讀取、使用、管理)。例如，醫療保健組織可以套用此功能來防止 StorageUsers 存取敏感病患資料，以支援遵守隱私權法規。

如何將工作委派給能夠在子區間中管理原則的使用者，而不允許他們修改某些資源或寫入拒絕原則？

若要安全地將工作委派給能夠管理子項區間原則的使用者，您可以

• 使用允許原則授予指定區間或資源的特定權限。
• 限制拒絕原則撰寫，以防止能夠管理子項區間中原則的使用者建立破壞性原則。
• 使用拒絕原則來封鎖對機密資源的存取。

例如，若要允許能夠管理子區間原則的使用者在限制網路變更及拒絕原則建立時，管理區間中的運算資源，請使用下列原則：

拒絕 ProjectAdmins 群組管理 ProjectX 區間中的網路系列 拒絕 ProjectAdmins 群組管理 ProjectX 區間中的原則，其中 target.policy.type='DENY'

允許 ProjectAdmins 群組管理 ProjectX 區間中的 instance-family

這些原則可讓 ProjectAdmins 管理 ProjectX 中的執行處理、阻止它們修改網路，以及防止它們寫入拒絕原則、支援安全委派。財務組織可以使用此方法來允許子管理員管理運算資源，同時嚴格控制網路組態和原則管理。

安全與回復機制

是否在允許原則之前評估拒絕原則？

是，OCI Identiy and Access Management 使用拒絕的第一個評估模型，在隔離專區階層中允許原則之前，會先評估拒絕原則。如果要求符合拒絕原則，無論任何允許原則為何，都會封鎖存取。預設的管理員群組免於拒絕原則以防止被鎖定。

例如，生產環境區間中可能存在下列原則：

拒絕 Devs 群組管理 Prod 區間中的 instance-family
允許 Devs 群組管理 Prod 區間中的所有資源

拒絕原則會阻擋開發人員管理執行處理，但預設管理員仍可管理執行處理。

如果可以管理原則的使用者寫入鎖定租用戶中所有使用者的拒絕原則，會發生什麼情況？

預設的管理員群組不受拒絕原則限制，因此其成員可以登入、檢視及編輯原則來解決鎖定。此保護措施有助於防止全租用戶中斷。

範例：如果套用拒絕 any-user 來檢查租用戶中的所有資源，預設的管理員群組使用者仍然可以登入並存取原則編輯器來移除或調整它。

如何從鎖定所有使用者的全租用戶拒絕原則復原？

全租用戶拒絕原則 (例如拒絕任何使用者檢查租用戶中的所有資源) 可能會封鎖所有使用者存取，因而導致停機。復原：

1. 以預設管理員群組的成員身分登入 (不受拒絕原則限制)。
2。在 OCI 主控台中，前往身分識別與安全性，然後前往原則。
3。在根區間中找出有問題的原則。
4。編輯或刪除原則 (例如，將「拒絕任何使用者」變更為「拒絕群組實習生」以檢查租用戶中的所有資源，以檢查租用戶中的所有資源) .
5。或者，使用下列 OCI 命令行介面：OCI iam 原則更新 --policy-id -- 敘述句 '["Deny group Interns to inspect all-resources in tenancy"]

例如，如果可以在子區間中管理原則的使用者不小心套用 Deny any-user 來檢查租用戶中的所有資源，則預設的管理員群組使用者可以登入並修改它，使其只鎖定來賓群組，避免未來被鎖定。為了避免這類問題，請徹底測試原則，並限制拒絕原則的撰寫。

權限效果

如果我拒絕「管理」權限，會發生什麼事？

只拒絕管理區塊，讓使用、讀取及檢查保持不變。

範例：拒絕 DevOps 群組管理「生產」區間中的執行處理，可防止 DevOps 管理執行處理，但允許他們使用、讀取或檢查執行處理。

如果我拒絕「使用」權限會發生什麼事？

拒絕使用區塊同時使用和管理權限，但仍允許讀取和檢查。

範例：拒絕群組測試人員在 QA 區間中使用儲存桶，會讓測試人員停止使用或管理儲存桶，但允許讀取或檢查儲存桶。

如果我拒絕「讀取」權限會發生什麼事？

拒絕讀取區塊的讀取、使用及管理權限，但仍允許檢查。

範例：拒絕群組稽核者讀取區間記錄日誌中的日誌，可防止稽核者讀取、使用或管理日誌，但允許檢查。

如果我拒絕「檢查」權限，會發生什麼事？

拒絕檢查會封鎖所有權限 (檢查、讀取、使用、管理)，因為檢查是基本層級權限。

範例：拒絕讓群組檢視者檢查區間「公用」中的執行處理，會完全封鎖檢視者存取執行處理。

進階使用案例和疑難排解

如何監控拒絕原則以確保原則如預期般運作？

複查 OCI 稽核日誌以追蹤被拒絕原則封鎖的動作。如果要檢查租用戶中的 cloud-shell 的原則 (例如 Deny any-user) 導致問題，請將其縮小為 Deny group Interns，以檢查租用戶中的 cloud-shell。設定原則變更的警示以保持主動。

範例：監控日誌以調整「拒絕」群組驅動程式，以管理區間機組中阻隔合法作業的執行處理系列。

因拒絕政策而應避免的常見錯誤為何？

OCI 拒絕第一個模型優先考慮拒絕政策以允許政策，如果政策範圍太廣，這可能會導致中斷。常見的錯誤包括套用整個租用戶或整個區間的鎖定，或使用過廣泛的標記型條件。

例如，如果原則 (例如拒絕任何使用者) 檢查租用戶中的所有資源，就可以封鎖所有存取，造成租用戶整體鎖定。請改用目標原則，例如：

Deny group Interns to inspect all-resources in compartment Public

這只會限制實習生群組存取，避免意外中斷。技術公司可能會使用此方法限制顧客存取，同時保留其他使用者的功能。為了避免發生問題，請在封閉測試環境測試原則，讓原則保持簡單，並限制拒絕原則撰寫。

跨租用戶使用案例是否支援拒絕敘述句？

是，拒絕敘述句支援跨租用戶案例。單一拒絕背書或拒絕入學聲明可封鎖跨租用戶要求，與必須同時滿足兩者的背書 / 許可證配對不同。

以下為來源租用戶的範例：

背書群組 Devs 可使用租用戶中的 object-family PartnerTenancy 拒絕背書群組 Devs 來管理租用戶中的 object-family PartnerTenancy

這可讓開發人員在 PartnerTenancy 中使用物件儲存，但封鎖管理動作。合作夥伴組織可以使用此功能來啟用資料共用，同時維持對資源的控制。

拒絕原則如何與 OCI Zero Trust Packet Routing 互動？

OCI Zero Trust Packet Routing 在 Open Systems Interconnection 模型的第 4 層 (網路層級) 運作，而 IAM 拒絕政策則在第 7 層 (應用程式層級) 強制執行存取。如果 OCI Zero Trust Packet Routing 允許通訊，IAM 拒絕原則仍然可以封鎖動作。

例如：

• OCI 零信任封包路由原則：允許 VCN web:vcn 中的 dynamic-group FrontEnd 連線至 VCN vcn:server 中的 backend:server-instance，以允許網路流量。
• IAM 原則：拒絕 FrontEnd 動態群組管理 ProjectA 區間中的 instance-family (儘管 OCI Zero Trust Packet Routing 允許)，仍會封鎖執行處理管理。

OCI Zero Trust Packet Routing 和 IAM 原則會依序評估，並將 IAM 作為最終守門員。

系統定義的原則與拒絕原則的互動方式為何？

標準系統原則一律會覆寫使用者定義的拒絕原則，以確保基本服務功能 (例如，允許任何使用者讀取 target.domain.id='request.domain.id') 租用戶中的網域)。

範例：拒絕原則 (例如拒絕群組使用者讀取租用戶中的網域) 將不會封鎖允許網域存取的標準系統原則。

拒絕原則的評估方式是否與允許原則不同？

OCI Identity and Access Management 使用拒絕的第一個評估模型，此模型會先評估拒絕原則後，再允許區間階層中的原則。如果要求符合拒絕原則，無論任何允許原則為何，都會封鎖存取。系統定義的原則可以覆寫使用者定義的拒絕 (請參閱問題 27)。預設管理員群組不受拒絕原則限制，因此他們可以在鎖定期間管理原則。

範例：如果拒絕群組使用者管理 Prod 區間中的 instance-family，以及允許群組使用者管理 Prod 區間中的所有資源，則拒絕原則區塊執行處理管理。

IAM 拒絕覆寫 Oracle 識別網域管理角色 (例如，識別網域管理員、安全管理員以及使用者管理程式)？

在目前的版本中，IAM 拒絕原則不會覆寫 Oracle Identity Cloud Service 管理角色 (例如識別網域管理員、安全管理員以及使用者管理程式)。這是限制。在下一個版本中，IAM Deny 的優先順序高於 Oracle Identity Cloud Service 管理角色，以達到一致的存取控制。

如何使用 IAM Deny，讓只有透過新的 OCI 專用服務存取才能存取服務？

OCI 專用服務存取可透過專用網路路徑存取 Oracle 服務，而不是透過公用網際網路存取。OCI Private Service Access 是專為希望工作負載與 Oracle 服務之間進行私有連線 (基於合規性、效能或安全原因) 的客戶所設計。

如果您使用 OCI 專用服務存取來安全地存取服務 (例如 OCI 物件儲存或 OCI 串流)，則必須強制執行所有存取都必須透過 OCI 專用服務存取。在 IAM 拒絕的情況下，您可以明確封鎖對服務的所有非 OCI 專用服務存取流量 (即使允許原則存在)。

例如，若要只允許透過 OCI 專用服務存取來存取 OCI 物件儲存，請使用

拒絕 any-user 存取 {not request.gateway.id, request.gateway.type !='privateserviceaccess'} 租用戶中的 object-family

除非使用者流量是透過 OCI 專用服務存取端點遞送，否則此原則可防止使用者存取 OCI 物件儲存。如果您已為機密資料設定 OCI 專用服務存取設定，並且想要消除透過非預期公用路由的存取風險，此功能特別有用。

OCI Identity and Access Management 會拒絕原則與 Oracle Security Zones，以及何時應該使用原則？

OCI 提供 IAM 拒絕原則和 Oracle Security Zones，可防止不安全的動作保護您的租用戶。雖然這兩者都強化了您的安全性，但它們在工作和彈性上的不同。

• 相似性：IAM 會拒絕原則，而 Oracle Security Zones 會封鎖特定動作來保護您的資源，並強制執行 OCI 租用戶中的安全最佳做法。
• 關鍵差異
  • IAM 拒絕原則：您可以建立自訂原則，根據使用者識別、資源類型、IP 位址或標記等條件封鎖動作。這些原則可作為監護人，從下一個版本開始，其優先順序將高於所有 IAM 原則。例如，如果資源具有特定標記 (例如 environment:production)，您可以封鎖特定使用者群組來刪除重要資源。
  • Oracle Security Zones ：這些規則會將預先定義的安全規則套用至區間或整個租用戶。啟用時，Oracle Security Zones 會自動對某些 OCI 服務 (例如防止公用子網路或停用加密) 強制執行限制。您不需要撰寫原則 — 這些規則是內建的，並且會自動檢查資源設定值。
• 使用時機
  • 使用 IAM 拒絕自訂目標限制的原則，例如根據您定義的條件封鎖特定使用者或動作。
  • 使用 Oracle Security Zones 進行自動化的安全規則，在最少的設定下強制執行最佳做法。
  • 結合兩者以加強保護。啟用 Oracle Security Zones 以進行廣泛的基準保全，並為特定量身打造的控制項新增 IAM 拒絕原則。

取得 OCI Identity and Access Management 拒絕原則的協助

如需進一步協助，請造訪 OCI Identity and Access Management 文件或聯絡您的 OCI 帳戶團隊。

群組

什麼是群組？

群組是一組使用者，並且需要相似的存取權限才能使用或管理您帳戶中的特定資源。使用者可加入多個群組。權限採累計制。例如：如果有一個群組中的成員資格允許某名使用者使用計算實例，而第二個群組中的成員資格允許該使用者管理區塊磁碟區，則該名使用者便可管理實例和區塊磁碟區。

原則由管理員負責編寫，為群組 (而非個人使用者) 指定存取特定區間或帳戶所需的必要權限。之後再將使用者新增至適當的群組。

我可以設有多名管理員嗎？

有。您的帳戶附設一名隸屬於根區間「管理員」群組的預設管理員。此群組具備建立及管理您帳戶內所有 Oracle Cloud Infrastructure 資源的完整權限，其中包括使用者、群組、原則與區間，以及任一區間中的所有其他雲端基礎架構資源。您可以新增其他使用者至此管理員群組。

功能

OCI IAM 如何滿足密碼到期的要求？

密碼制定原則可讓您設定密碼的到期時間。預設密碼制定原則會將密碼設為 120 天後到期。這是可設定的，且不同的原則可套用至使用者的子集。

如何在運算實例上執行任務，而無需將使用者認證嵌入其中？

使用動態資源群組，將一組運算資源指派給群組。然後，您可以透過原則來指派該群組權限。這可讓運算執行處理以安全的方式存取其他 OCI 資源，而不需要將證明資料內嵌至命令檔中。

身分聯合識別

Oracle Cloud Infrastructure 中的身分聯合識別是什麼？

身分聯合識別是一種機制，用於將 Oracle Cloud Infrastructure 租戶的使用者管理，委派給其他稱為身分識別提供者 (或簡稱 IdP) 的實體。此做法不需要再建立和維護新的一組使用者，對於已有既定慣用身分識別系統的公司而言十分實用。聯合識別需要在 Oracle Cloud Infrastructure 和 IdP 之間進行一次性的設定；這樣的操作又稱聯合信任 (Federation Trust)。

身分聯合識別使用者是什麼？

身分聯合識別使用者 (外部身分) 是指您在 Oracle Cloud Infrastructure 以外所管理的使用者 (如：企業目錄)，並且您會對這些使用者授予 Oracle Cloud Infrastructure 帳戶的存取權限。這些使用者有別於您在 Oracle Cloud Infrastructure 帳戶中所建立和維護的 Oracle Cloud Infrastructure 使用者。

身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console 嗎？

有。身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console。

身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI 嗎？

有。身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI。

Oracle Cloud Infrastructure 使用者可以在 Console 中執行哪些身分聯合識別使用者所不被允許的操作？

身分聯合識別使用者無法在 Oracle Cloud Infrastructure Console 中變更或重設密碼。

如何控制身分聯合識別使用者在登入主控台後可執行的操作？

您可以沿用管理原有使用者的 Oracle Cloud Infrastructure 原則來管理身分聯合識別使用者。請將身分識別提供者的角色與群組對應至 Oracle Cloud Infrastructure 中的群組。當身分聯合識別使用者登入時，Oracle Cloud Infrastructure Console 便會根據其 Oracle Cloud Infrastructure 的群組成員資格套用原則，就和對原有使用者採取的做法一樣。如需範例，請參閱說明文件。

身分識別提供者中的單一角色或群組可對應至多個 Oracle Cloud Infrastructure 群組。此外，身分識別提供者中的多個角色或群組也可對應至單一的 Oracle Cloud Infrastructure 群組。

我可以授予多少名身分聯合識別使用者存取 Oracle Cloud Infrastructure Console？

關於可授權存取該主控台的身分聯合識別使用者，並無人數限制。

您支援哪些身分識別提供者？

OCI IAM 支援任何符合 SAML 2.0、Open ID Connect 或 OAuth 規範的身分識別提供者，包括 Oracle Access Manager、Microsoft Active Directory Federation Services (AD FS) 和 Okta 等常用解決方案。

多重要素驗證

什麼是多重要素驗證 (MFA)，以及為什麼重要？

過去，帳戶是以簡單的使用者名稱和密碼來保護。但是密碼可能很難記住，並且使用常見的網路攻擊技術 (例如網路竊聽、網路釣魚及暴力攻擊) 相對容易擷取。如果有人竊取您的憑證，他們會偽裝成您，並存取您所有的帳號與資源。

多重要素驗證 (MFA) 是一項熱門的安全功能，透過強化應用程式使用者所宣稱的身分，協助降低帳戶接管的風險。MFA 要求使用者提供多個認證因素。認證因素有三種類別：您所知道的 (例如密碼或 PIN)、您所擁有的項目 (例如安全記號或行動電話)，以及您所擁有的項目 (例如生物特徵資料，例如指紋或臉部掃描)。啟用 MFA 後，即使攻擊者管理取得您的密碼，若未提供 MFA 所需的其他證據，他們仍無法與您進行認證。這有助於防止未經授權的存取，並防止敏感資訊被入侵或採取不適當的行動。啟用 MFA 也有助於滿足法規遵循要求，並遵循業界標準，例如 National Institute of Standards and Technology (NIST) 所提供的標準。

誰應該使用 MFA？

Oracle 建議對所有使用者啟用 MFA。您至少應對具備管理權限 (例如能夠建立及管理 OCI 資源) 的使用者啟用 MFA。您也應要求 MFA 存取代管機密資訊或允許高風險動作的任何應用程式。

管理員啟用 MFA 時，一般使用者體驗為何？

管理員首次啟用 MFA 時，系統會在使用者下次登入時提示使用者註冊 MFA。初次註冊之後，使用者將在每次後續造訪的登入過程中面臨 MFA 的挑戰。如果管理員啟用信任的裝置，使用者可以選擇「信任此裝置」，如果使用者在同一裝置上返回，則移除 MFA 的需求。

如需詳細資訊，使用者可參考下列指引：

• 管理 OCI 識別和存取管理識別網域中的兩步驟驗證
• 管理 Oracle Identity Cloud Service 中的兩步驟驗證

在任何情況下，MFA 是否為強制性？

編號在任何情況下，MFA 並非嚴格要求。例如，如果您授與公用網站的存取權，通常不需要任何認證。如果您希望使用者在進行採購時登入，以便您知道要收取哪些帳戶費用，以及要在何處交付產品，可能是使用者名稱和密碼足夠。但是，如果同一使用者想要變更付款方式或交付地址，或者應用程式允許可能影響組織的動作，則建議使用 MFA。

Oracle 強烈建議您對所有雲端和應用程式管理員啟用 MFA。最後，您應該根據組織的內部安全原則和風險評估，評估是否強制執行 MFA。但從原則開始，MFA 一律是必要的原則，而且對於要將 MFA 設為選擇性的任何應用程式，都需要執行核准。

我可以使用哪些 MFA 因素？是否有費用？

若要完全瞭解可用的因子和成本，請務必先瞭解您擁有的 OCI 租用戶類型。若要判斷您的租用戶是否具有識別網域的 OCI Identity and Access Management (IAM)，或其具有不含識別網域的 OCI IAM，請檢閱此文件。

• 如果您的租用戶有具備識別網域的 OCI IAM ，所有識別網域類型都支援 MFA，無須額外付費。Free 類型的識別網域無法使用 SMS 作為認證因素，但有其他因素可以使用。如需完整詳細資訊，請參閱 OCI IAM 與識別網域 MFA 文件。
• 如果您的租用戶具有不含識別網域的 OCI IAM ，則有兩種 MFA 選項：
  • 透過 OCI IAM 服務啟用直接使用者登入的 MFA。此選項提供一組有限的認證因素，無須額外付費。如需完整詳細資訊，請參閱不含識別網域的 OCI IAM MFA 文件。
  • 利用 Oracle Identity Cloud Service (IDCS) 在 OCI 中驗證使用者。此選項提供更多 MFA 功能和認證選項。
• 若使用 IDCS 進行認證，有兩種授權類型：
  • IDCS Foundation (免費層) 僅支援免費存取 OCI 主控台的 MFA，其驗證因子集有限 (如此處說明 )。若要保護其他應用程式，您必須升級至「IDCS 標準」。
  • IDCS 標準支援適用於任何受保護服務或應用程式的廣泛 MFA 選項，無須額外付費。如需完整詳細資訊，請檢閱 Identity Cloud Service (IDCS) MFA 文件。

哪裡可以瞭解如何導入 MFA？

導入 MFA 的特定指示會根據您擁有的 OCI 租用戶類型而有所不同。若要判斷您的租用戶是否具有識別網域的 OCI IAM，或其具有不含識別網域的 OCI IAM，請檢閱此文件。

• 如果您的租用戶有 OCI IAM 與識別網域，請參考保護 OCI IAM 最佳做法。
• 如果您的租用戶具有不含識別網域的 OCI IAM ，則有兩種 MFA 選項：
  • 若要透過不含識別網域的 OCI IAM 直接使用者登入 MFA，請參考管理不含識別網域的 OCI IAM MFA 。
  • 若要對沒有識別網域的 OCI IAM 同盟 IDCS 使用者啟用 MFA，請參考設定 IDCS 的 MFA 。
• 如果您使用 IDCS 在沒有 OCI 租用戶的情況下向應用程式進行認證，請參考設定 IDCS 的 MFA 。

如果我未導入 MFA，會發生什麼情況？

如果您未實行 MFA，目標帳戶接管攻擊可能會成功的風險將會增加。但使用 MFA 時，您的租用戶和 (或) 其他認證處理作業將會繼續正常運作。