常見問題

全部開啟 全部關閉

    一般性問題

  • Oracle Cloud Infrastructure Identity and Access Management 是什麼?

    Oracle Identity and Access Management (IAM) 可讓您安全地控制任何對您的雲端資源所進行的存取。

  • Oracle Identity and Access Management 的關鍵詞語和概念為何?

    IAM 的主要概念是:

    • 區間 - 雲端資源的邏輯容器。一個帳戶的管理員可以建立一個或多個區間,以組織並管理其帳戶內的資源。您可以使用區間:
    • 根區間 - 您帳戶中最高等級的區間。佈建帳戶後,將會自動為您建立根區間。
    • 使用者 - 可驗證的實體。使用者可以是個人或機器帳戶。每一位使用者在您的帳戶中均有唯一名稱和全域的唯一識別碼。使用者可獲取密碼,以存取 Web Console 和金鑰,以透過 API 存取服務。
    • 群組 - 一組使用者。群組用於簡化存取管理。例如:可以將軟體開發人員分為「開發人員」群組成員,以利允許讀寫和修改程式碼。單一使用者可以是多個群組的成員。
    • 原則 - 指定可存取貴公司哪一項 Oracle Cloud Infrastructure 資源以及存取方式的文件。原則是由原則聲明所組成。多個原則會組成一個原則語料庫。
  • Oracle Cloud Infrastructure 的身分識別和存取管理做法有何獨特之處?

    若使用 Oracle Cloud Infrastructure IAM,您可以在所有 Oracle Cloud Infrastructure 服務中,運用單一驗證與授權模式。無論是單一專案的個人作業或者同時有許多小組投入專案的大規模公司,採用 Oracle IAM 之後,只要一個帳戶便能實現涵蓋整個組織的存取權限管理。資源管理與授權可以按帳戶等級或區間等級進行,同時允許集中稽核與計費。

    Oracle IAM 是一項從頭建置並可讓您依預設執行最低權限—的安全性原則,新的使用者不可在任何資源上執行任何操作。管理員可為每一名使用者授予適當的存取權限。

  • Oracle Cloud Infrastructure 如何支援多因素認證?

    Oracle Cloud Infrastructure 透過 Identity and Access Management 支援多因素認證 (MFA)。此外,身分聯合識別的使用者可透過 Oracle Identity Cloud Service 以 MFA 驗證,或者由任何支援 MFA 的第三方身分識別業者進行驗證。

  • 對於使用者、群組、區間與原則的變更,會基於除錯與稽核的目的進行記錄嗎?

    會。為了協助企業滿足稽核與合規的要求,所有變更均會加以記錄,並可在不增加額外費用的情況下提供給您。

  • 我要如何開始使用 Oracle Identity and Access Management?

    Oracle IAM 會依預設啟用,無需額外付費。您帳戶的第一個使用者為預設管理員。所有後續使用者均透過 IAM 服務建立,您可以在這項服務中明確授予使用者與指定雲端資源互動的權限。

    您可以使用 ConsoleRest APISDK,存取 Oracle IAM。

  • 做為 Oracle Cloud Infrastructure 使用者,我要如何重設密碼?

    如要重設 Oracle Cloud Infrastructure 密碼,您必須先確認您的帳戶已經設妥關聯的電子郵件地址。請造訪 Oracle Cloud Infrastructure 帳戶的使用者個人資料頁面,並新增只有您才可存取的電子郵件地址。您將會收到一封電子郵件,要求確認要以該電子郵件地址註冊您的帳號。如果您的租戶管理員未停用該電子郵件地址,那您就可以使用該電子郵件地址重設密碼。

    區間

  • 區間用於解決哪些問題?

    區間是帳戶內的一個安全邏輯容器,用於託管基礎架構資源 (如:運算、儲存和網路),此外還有一組適用於這些資源的存取管理原則。區間讓您能夠有條不紊地整理雲端資源,以便支援各種使用案例。

    以下列出區間常見的幾種用法:

    • 區隔軟體開發環境,以便簡化管理。例如:您可能會有專門用於開發、測試與生產的個別區間;或者也可以有專門用於支援藍/綠部署個別的區間。
    • 簡化權限管理。例如:您可以為網路資源 (VCN、子網路、網際網路閘道等) 建立個別的區間,然後僅允許網路管理員存取該區間。
    • 分別計算各事業單位的使用量,以便正確對這些事業單位的雲端資源使用量收費。
    • 最小化特定組別使用者可見的資源集。例如:您可能會為財務團隊建立特定員工才可見的個別區間。
  • 區間可包含多個可用性網域的資源嗎?

    可以。有別於可用性網域的物理構件,區間是資源的邏輯分組。每一個區間可包含整個可用性網域的資源。

  • 區間如何用於進行存取控制?

    所有原則均會附加至區間;此區間可為根區間或子區間。每個原則均包含一個或多個遵循此基本語法的原則聲明:

    允許群組 區間

    原則聲明可讓您透過區間簡化權限管理;例如:您可以寫入允許 HRAdministrators 群組管理 HRCompartment 區間內所有資源的原則。

  • 我可以刪除區間嗎?

    是的,您可以刪除區間。

  • 我可以移動整個區間的樹狀圖和所含的資源嗎?

    是的,您可以將整個區間樹狀圖及其所含的資源,移至其他主區間。

  • 我可以將資源 (如:運算實例或區塊磁碟區) 從一個區間移到另一個區間嗎?

    是的,您可以將資源從一個區間移到另一個區間。

  • 我可以建立區間的階層嗎?

    是的,您可以通過進行巢狀來建立區間的階層。在階層式或巢狀區間情況下,系統管理員可以整理資源,並允許較低層級的管理員執行相同的操作,同時透過原則保持完整的可見度與控制。

  • 可以將區間巢狀化至多少層?

    巢狀區間的分層上限為六層。

  • 更高級別的區間原則是否適用於子區間?

    是的,更高級別區間的原則會往下傳至子區間。

  • 我可以追蹤區間的費用和使用量嗎?

    是的,您可以在「我的服務」追蹤區間的費用和使用量。

    根區間

  • 什麼是根區間?

    Oracle Cloud Infrastructure 會針對每一個帳戶自動建立一個名為根區間的最上層區間。根區間的概念類似於檔案系統的根資料夾,而且除了以下幾個特殊的特性之外,根區間的行為模式和子區間完全一樣:

    • 由於權限是階層式權限,因此根區間中的群組權限將套用至所有子區間。例如:如果為 NetworkAdmins 群組授予在根區間中管理虛擬雲端網路 (VCN) 的權限,則該群組將可在所有區間中管理 VCN。
    • 目前而言,所有使用者和群組均在根區間內建立。可使用原則受取對特定子區間的存取權限。

    請注意:目前而言,您只能在根區間中建立其他區間;其他區間內無法建立額外的區間。

  • 我什麼時候應該在根區間中建立資源?又該在什麼時候於子區間中建立資源?

    一般而言,您應在不是根區間的區間中建立資源。最好能在開始建立區間與資源之前,設計好區間的階層。目前而言,您無法將資源從一個區間移至另一個區間,而且也無法編輯或刪除區間。

    使用者

  • 使用者可以做什麼?

    使用者是指能夠成功通過 Oracle IAM 驗證的人,並且針對使用或管理您帳戶內的雲端資源,具備充足的權限。管理員可以在自己帳戶中建立一個或多個使用者,並為其指派群組,以便授予特定區間的資源權限。

  • 誰能夠建立和管理使用者?

    您的帳戶佈建一名使用者:預設管理員和一個群組:管理員,其中預設管理員的使用者也是群組的成員之一。此群組 (管理員) 具備您帳戶的完整存取權限。此特殊使用者 (預設管理員) 必須建立其他任一使用者或授予其他使用者權限,以便其建立新的使用者。

  • 新的使用者在建立後具備哪些存取權限?

    依預設,新的使用者不具備使用您帳戶中任何資源或服務的權限 - 所有權限均必須明示授予。此做法可讓您遵守最低權限的安全性原則,以便針對每一位使用者授予必要的存取權限。您必須明示新增使用者至現有群組或為其建立新的群組,然後透過原則,為該群組指派適當的權限。

  • 我可以啟用和停用使用者存取權限嗎?

    目前而言,您無法停用使用者存取權限。然而,您可以重設密碼或刪除金鑰。

  • 我要如何輪換憑證?

    您可以透過 REST API 和 SDK 自動重設密碼、變更金鑰或編輯使用者和群組成員。

    群組

  • 什麼是群組?

    群組是一組使用者,並且需要相似的存取權限才能使用或管理您帳戶中的特定資源。使用者可加入多個群組。權限採累計制。例如:如果有一個群組中的成員資格允許某名使用者使用計算實例,而第二個群組中的成員資格允許該使用者管理區塊磁碟區,則該名使用者便可管理實例和區塊磁碟區。

    原則由管理員負責編寫,為群組 (而非個人使用者) 指定存取特定區間或帳戶所需的必要權限。之後再將使用者新增至適當的群組。

  • 我可以設有多名管理員嗎?

    可以。您的帳戶附設一名隸屬於根區間「管理員」群組的預設管理員。此群組具備建立及管理您帳戶內所有 Oracle Cloud Infrastructure 資源的完整權限,其中包括使用者、群組、原則與區間,以及任一區間中的所有其他雲端基礎架構資源。您可以新增其他使用者至此管理員群組。

    原則

  • 原則是什麼?

    原則是一份說明文件,其中包含了授予使用者群組特定權限之描述性原則聲明。原則是以類似於 SQL 的語法編寫,淺顯易懂。原則可強制執行的操作範例如下:

    • 系統管理員可以「終止」或「重新啟動」您的裸機運算實例。
    • 網路管理員可以完全管理所有網路相關的基礎架構資源。
    • IT 管理員可以建立使用者並編輯群組成員資格。

    原則允許群組在特定區間中,使用指定類型資源進行某些操作。原則可包含一個對該原則聲明提出更詳盡限制說明的條件式子句 (「where...」)。原則遵循以下語法:

    允許 群組在 區間 [where ]

    例如:授予使用運算實例權限的原則聲明如下:

    允許開發人員群組在 ProjectA 區間中使用實例

    • 「group_name」是獲得權限的群組名稱。
    • 「verbs」是您可以對資源採取的行動,例如:檢查、讀取、使用或管理。
    • 「resource-type」是獲得權限的雲端資源。「resource-type」的範例包括:實例、磁碟區和路由表。
    • 「compartment_name」是經過整理的資源區間名稱。
    • 「conditions」進一步說明原則聲明的侷限範圍。範例包括:「where request.user.id=target.user.id」或「where target.group_name != Administrators」。

    如需更多詳細資訊,請參閱 Oracle Cloud Infrastructure 說明文件的「Oracle IAM」小節

  • 根區間的原則是否會延續至子區間?

    是。在根區間中的原則授予權限會自動為所有子區間授予相同權限。例如:以下原則會為「InstanceAdmins」群組的所有使用者授予權限,以便管理根區間和所有子區間中的實例:

    允許 InstanceAdmins 群組管理租戶中的實例

  • 原則可以限定於特定區間嗎?

    可以。每一個原則均會「附加」至區間。您所選擇的附加位置,決定了可對該原則進行修改或刪除操作的人員。若將原則附加至根區間,則任何具備根區間原則管理權限的人員,均可對該原則進行變更或刪除。若將原則附加至某一區間,則任何具備該區間原則管理權限者,均可變更或刪除該原則。實際上,這便於區間管理員 (即具備區間「管理所有資源」權限的群組) 進行存取,以管理其負責區間的原則,不需再授予管理員用於管理帳戶內原則的邊界存取權限。

  • 我可以在哪裡取得更多關於編寫原則聲明的資訊?

    如需更多關於原則與原則聲明的資訊,請參閱 Oracle Cloud Infrastructure 說明文件中的《原則快速入門指南》和《常見原則》。

    身分聯合識別

  • Oracle Cloud Infrastructure 中的身分聯合識別是什麼?

    身分聯合識別是一種機制,用於將 Oracle Cloud Infrastructure 租戶的使用者管理,委派給其他稱為身分識別提供者 (或簡稱 IdP) 的實體。此做法不需要再建立和維護新的一組使用者,對於已有既定慣用身分識別系統的公司而言十分實用。聯合識別需要在 Oracle Cloud Infrastructure 和 IdP 之間進行一次性的設定;這樣的操作又稱聯合信任 (Federation Trust)。

  • 身分聯合識別使用者是什麼?

    身分聯合識別使用者 (外部身分) 是指您在 Oracle Cloud Infrastructure 以外所管理的使用者 (如:企業目錄),並且您會對這些使用者授予 Oracle Cloud Infrastructure 帳戶的存取權限。這些使用者有別於您在 Oracle Cloud Infrastructure 帳戶中所建立和維護的 Oracle Cloud Infrastructure 使用者。

  • 身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console 嗎?

    可以。身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console。

  • 身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI 嗎?

    可以。身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI。

  • Oracle Cloud Infrastructure 使用者可以在 Console 中執行哪些身分聯合識別使用者所不被允許的操作?

    身分聯合識別使用者無法在 Oracle Cloud Infrastructure Console 中變更或重設密碼。

  • 如何控制身分聯合識別使用者在登入主控台後可執行的操作?

    您可以沿用管理原有使用者的 Oracle Cloud Infrastructure 原則來管理身分聯合識別使用者。請將身分識別提供者的角色與群組對應至 Oracle Cloud Infrastructure 中的群組。當身分聯合識別使用者登入時,Oracle Cloud Infrastructure Console 便會根據其 Oracle Cloud Infrastructure 的群組成員資格套用原則,就和對原有使用者採取的做法一樣。如需範例,請參閱說明文件

    身分識別提供者中的單一角色或群組可對應至多個 Oracle Cloud Infrastructure 群組。此外,身分識別提供者中的多個角色或群組也可對應至單一的 Oracle Cloud Infrastructure 群組。

  • 我可以授予多少名身分聯合識別使用者存取 Oracle Cloud Infrastructure Console?

    關於可授權存取該主控台的身分聯合識別使用者,並無人數限制。

  • 您支援哪些身分識別提供者?

    目前我們支援 Oracle 的 Identity Cloud Service (IDCS)、Microsoft Active Directory Federation Services (AD FS)、Okta 以及任何與 SAML 2.0 相容的身分識別提供者。