Oracle Identity and Access Management (IAM) 可讓您安全地控制任何對您的雲端資源所進行的存取。
IAM 的主要概念是:
若使用 Oracle Cloud Infrastructure IAM,您可以在所有 Oracle Cloud Infrastructure 服務中,運用單一驗證與授權模式。無論是單一專案的個人作業或者同時有許多小組投入專案的大規模公司,採用 Oracle IAM 之後,只要一個帳戶便能實現涵蓋整個組織的存取權限管理。資源管理與授權可以按帳戶等級或區間等級進行,同時允許集中稽核與計費。
Oracle IAM 是一項從頭建置並可讓您依預設執行最低權限—的安全性原則,新的使用者不可在任何資源上執行任何操作。管理員可為每一名使用者授予適當的存取權限。
Oracle Cloud Infrastructure 透過 Identity and Access Management 支援多因素認證 (MFA)。此外,身分聯合識別的使用者可透過 Oracle Identity Cloud Service 以 MFA 驗證,或者由任何支援 MFA 的第三方身分識別業者進行驗證。
會。為了協助企業滿足稽核與合規的要求,所有變更均會加以記錄,並可在不增加額外費用的情況下提供給您。
如要重設 Oracle Cloud Infrastructure 密碼,您必須先確認您的帳戶已經設妥關聯的電子郵件地址。請造訪 Oracle Cloud Infrastructure 帳戶的使用者個人資料頁面,並新增只有您才可存取的電子郵件地址。您將會收到一封電子郵件,要求確認要以該電子郵件地址註冊您的帳號。如果您的租戶管理員未停用該電子郵件地址,那您就可以使用該電子郵件地址重設密碼。
區間是帳戶內的一個安全邏輯容器,用於託管基礎架構資源 (如:運算、儲存和網路),此外還有一組適用於這些資源的存取管理原則。區間讓您能夠有條不紊地整理雲端資源,以便支援各種使用案例。
以下列出區間常見的幾種用法:
可以。有別於可用性網域的物理構件,區間是資源的邏輯分組。每一個區間可包含整個可用性網域的資源。
所有原則均會附加至區間;此區間可為根區間或子區間。每個原則均包含一個或多個遵循此基本語法的原則聲明:
允許群組
原則聲明可讓您透過區間簡化權限管理;例如:您可以寫入允許 HRAdministrators 群組管理 HRCompartment 區間內所有資源的原則。
是的,您可以刪除區間。
是的,您可以將整個區間樹狀圖及其所含的資源,移至其他主區間。
是的,您可以將資源從一個區間移到另一個區間。
是的,您可以通過進行巢狀來建立區間的階層。在階層式或巢狀區間情況下,系統管理員可以整理資源,並允許較低層級的管理員執行相同的操作,同時透過原則保持完整的可見度與控制。
巢狀區間的分層上限為六層。
是的,更高級別區間的原則會往下傳至子區間。
是的,您可以在「我的服務」追蹤區間的費用和使用量。
Oracle Cloud Infrastructure 會針對每一個帳戶自動建立一個名為根區間的最上層區間。根區間的概念類似於檔案系統的根資料夾,而且除了以下幾個特殊的特性之外,根區間的行為模式和子區間完全一樣:
請注意:目前而言,您只能在根區間中建立其他區間;其他區間內無法建立額外的區間。
一般而言,您應在不是根區間的區間中建立資源。最好能在開始建立區間與資源之前,設計好區間的階層。目前而言,您無法將資源從一個區間移至另一個區間,而且也無法編輯或刪除區間。
使用者是指能夠成功通過 Oracle IAM 驗證的人,並且針對使用或管理您帳戶內的雲端資源,具備充足的權限。管理員可以在自己帳戶中建立一個或多個使用者,並為其指派群組,以便授予特定區間的資源權限。
您的帳戶佈建一名使用者:預設管理員和一個群組:管理員,其中預設管理員的使用者也是群組的成員之一。此群組 (管理員) 具備您帳戶的完整存取權限。此特殊使用者 (預設管理員) 必須建立其他任一使用者或授予其他使用者權限,以便其建立新的使用者。
依預設,新的使用者不具備使用您帳戶中任何資源或服務的權限 - 所有權限均必須明示授予。此做法可讓您遵守最低權限的安全性原則,以便針對每一位使用者授予必要的存取權限。您必須明示新增使用者至現有群組或為其建立新的群組,然後透過原則,為該群組指派適當的權限。
目前而言,您無法停用使用者存取權限。然而,您可以重設密碼或刪除金鑰。
您可以透過 REST API 和 SDK 自動重設密碼、變更金鑰或編輯使用者和群組成員。
群組是一組使用者,並且需要相似的存取權限才能使用或管理您帳戶中的特定資源。使用者可加入多個群組。權限採累計制。例如:如果有一個群組中的成員資格允許某名使用者使用計算實例,而第二個群組中的成員資格允許該使用者管理區塊磁碟區,則該名使用者便可管理實例和區塊磁碟區。
原則由管理員負責編寫,為群組 (而非個人使用者) 指定存取特定區間或帳戶所需的必要權限。之後再將使用者新增至適當的群組。
可以。您的帳戶附設一名隸屬於根區間「管理員」群組的預設管理員。此群組具備建立及管理您帳戶內所有 Oracle Cloud Infrastructure 資源的完整權限,其中包括使用者、群組、原則與區間,以及任一區間中的所有其他雲端基礎架構資源。您可以新增其他使用者至此管理員群組。
原則是一份說明文件,其中包含了授予使用者群組特定權限之描述性原則聲明。原則是以類似於 SQL 的語法編寫,淺顯易懂。原則可強制執行的操作範例如下:
原則允許群組在特定區間中,使用指定類型資源進行某些操作。原則可包含一個對該原則聲明提出更詳盡限制說明的條件式子句 (「where...」)。原則遵循以下語法:
允許
例如:授予使用運算實例權限的原則聲明如下:
允許開發人員群組在 ProjectA 區間中使用實例
如需更多詳細資訊,請參閱 Oracle Cloud Infrastructure 說明文件的「Oracle IAM」小節。
是。在根區間中的原則授予權限會自動為所有子區間授予相同權限。例如:以下原則會為「InstanceAdmins」群組的所有使用者授予權限,以便管理根區間和所有子區間中的實例:
允許 InstanceAdmins 群組管理租戶中的實例
可以。每一個原則均會「附加」至區間。您所選擇的附加位置,決定了可對該原則進行修改或刪除操作的人員。若將原則附加至根區間,則任何具備根區間原則管理權限的人員,均可對該原則進行變更或刪除。若將原則附加至某一區間,則任何具備該區間原則管理權限者,均可變更或刪除該原則。實際上,這便於區間管理員 (即具備區間「管理所有資源」權限的群組) 進行存取,以管理其負責區間的原則,不需再授予管理員用於管理帳戶內原則的邊界存取權限。
身分聯合識別是一種機制,用於將 Oracle Cloud Infrastructure 租戶的使用者管理,委派給其他稱為身分識別提供者 (或簡稱 IdP) 的實體。此做法不需要再建立和維護新的一組使用者,對於已有既定慣用身分識別系統的公司而言十分實用。聯合識別需要在 Oracle Cloud Infrastructure 和 IdP 之間進行一次性的設定;這樣的操作又稱聯合信任 (Federation Trust)。
身分聯合識別使用者 (外部身分) 是指您在 Oracle Cloud Infrastructure 以外所管理的使用者 (如:企業目錄),並且您會對這些使用者授予 Oracle Cloud Infrastructure 帳戶的存取權限。這些使用者有別於您在 Oracle Cloud Infrastructure 帳戶中所建立和維護的 Oracle Cloud Infrastructure 使用者。
可以。身分聯合識別的使用者可以存取 Oracle Cloud Infrastructure Console。
可以。身分聯合識別使用者可以存取 Oracle Cloud Infrastructure SDK 和 CLI。
身分聯合識別使用者無法在 Oracle Cloud Infrastructure Console 中變更或重設密碼。
您可以沿用管理原有使用者的 Oracle Cloud Infrastructure 原則來管理身分聯合識別使用者。請將身分識別提供者的角色與群組對應至 Oracle Cloud Infrastructure 中的群組。當身分聯合識別使用者登入時,Oracle Cloud Infrastructure Console 便會根據其 Oracle Cloud Infrastructure 的群組成員資格套用原則,就和對原有使用者採取的做法一樣。如需範例,請參閱說明文件。
身分識別提供者中的單一角色或群組可對應至多個 Oracle Cloud Infrastructure 群組。此外,身分識別提供者中的多個角色或群組也可對應至單一的 Oracle Cloud Infrastructure 群組。
關於可授權存取該主控台的身分聯合識別使用者,並無人數限制。
目前我們支援 Oracle 的 Identity Cloud Service (IDCS)、Microsoft Active Directory Federation Services (AD FS)、Okta 以及任何與 SAML 2.0 相容的身分識別提供者。