![2 - 6
Copyright © 2017, Oracle and/or its affiliates. All rights reserved.
• Authorization is the process of specifying what actions an authenticated Principal can perform
• Authorization in IAM service is done by defining specific privileges in policies and associating them with
principals
• Supports security principle of least privilege; by default, users are not allowed to perform any actions
(policies cannot be attached to users, but only groups)
• Policies are comprised of one or more statements which specify what groups can access what resources
and what level of access users in that group have
• Policies are written in human-readable format:
• Allow group <group_name> to <verb> <resource-type> in tenancy
• Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> [where
<conditions>]
• Policy Attachment: Policies can be attached to a compartment or the tenancy. Where you attach it controls
who can then modify it or delete it.
Authorization](https://image.slidesharecdn.com/lesson02courseociiamservice-250408065325-f4060064/85/ORACLE-OCI-Identity-and-Access-Management-Service-6-320.jpg)
ORACLE OCI - Identity and Access Management Service
- 1. 2 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Identity and Access Management Service Febrero 2019, v1 [email protected]
- 2. 2 - 2 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Objectives After completing this lesson, you should be able to: • Describe the concepts and terms used in IAM service • Log in and navigate through the web console • Configure users and groups • Create compartments and Policies • Manage tags and tags Namespaces
- 3. 2 - 3 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Identity and Access Management Service • Identity and Access Management Service (IAM) enables you to control who can do what in your OCI account • Control who can access your OCI account • What services and resources they can use • How they can use these services and resources • Resource is a cloud object that you create and use in OCI (e.g. compute instances, block storage volumes, Virtual Cloud Networks) • IAM uses traditional identity concepts such as Principals, Users, Groups, Policies • OCI IAM introduces a new feature called Compartments
- 4. 2 - 4 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Principals • A principal is an IAM entity that is allowed to interact with OCI resources • Two types of Principals – IAM Users/Groups and Instance Principals • IAM Users/Groups • When customers sign-up for an OCI account, the first IAM user is the default administrator • Default administrator sets up other IAM users and groups • Users are persistent identities setup through IAM service to represent individual people or applications • Users enforce security principle of least privilege • User has no permissions until placed in one (or more) groups and • Group having at least one policy with permission to tenancy or a compartment • Group is a collection of users who all need the same type of access to a particular set of resources • Same user can be member of multiple groups • Instance Principals • Instance Principals lets instances (and applications) to make API calls against other OCI services removing the need to configure user credentials or a configuration file
- 5. 2 - 5 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Authentication IAM service authenticates a Principal by – • User name, Password • You use the password to sign in to the web console • An administrator will provide you with a one-time password when setting up your account • At your first log in, you are prompted to reset the password • API Signing Key • The API Signing Key is required when using the OCI API in conjunction with the SDK/CLI • The key is an RSA key pair in the PEM format (minimum 2048 bits required) • In the interfaces, you can copy and paste the PEM public key
- 6. 2 - 6 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. • Authorization is the process of specifying what actions an authenticated Principal can perform • Authorization in IAM service is done by defining specific privileges in policies and associating them with principals • Supports security principle of least privilege; by default, users are not allowed to perform any actions (policies cannot be attached to users, but only groups) • Policies are comprised of one or more statements which specify what groups can access what resources and what level of access users in that group have • Policies are written in human-readable format: • Allow group <group_name> to <verb> <resource-type> in tenancy • Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name> [where <conditions>] • Policy Attachment: Policies can be attached to a compartment or the tenancy. Where you attach it controls who can then modify it or delete it. Authorization
- 7. 2 - 7 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Policy Syntax Allow <subject> to <verb> <resource-type> in <location> where <conditions> Syntax: group <group_name> | group id <group_ocid> | any-user • Specify a single group by name • Allow group A-Admins to manage all-resources in compartment Project-A • Specify multiple groups • Allow group A-Admins, B-Admins to manage all-resources in compartment Projects-A-and-B • Specify group id • Allow group id ocid1.group.oc1.. to manage all-resources in compartment Project-A • Specify any user in the tenancy • Allow any-user to inspect users in tenancy
- 8. 2 - 8 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Policy Syntax Allow <subject> to <verb> <resource-type> in <location> where <conditions> Verb Type of access inspect Ability to list resources read Includes inspect + ability to get user-specified metadata/actual resource use Includes read + ability to work with existing resources (the actions vary by resource type)* manage Includes all permissions for the resource Aggregate resource- type Individual resource type all-resources database-family db-systems, db-nodes, db-homes, databases instance-family instances, instance-images, volume-attachments, console-histories object-family buckets, objects virtual-network- family vcn, subnet, route-tables, security-lists, dhcp- options, and many more resources (link) volume-family Volumes, volume-attachments, volume-backups The IAM Service has no family resource-type, only individual ones; Audit and Load Balancer have individual resources (load-balancer, audit-events) * In general, this verb does not include the ability to create or delete that type of resource
- 9. 2 - 9 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Policy Examples allow group Admins to manage all-resources in tenancy allow group NetworkAdmins to manage virtual-network-family in tenancy allow group HRAdmins to use instance- family in compartment HR allow group ServerAdmins to inspect object- family in tenancy Aggregate Resource Types Individual Resource Types allow group NetworkAdmins to manage subnet in compartment Marketing allow group HRAdmins to use console-histories in compartment HR allow group ServerAdmins to read objects in compartment IT
- 10. 2 - 10 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Tenants and Compartments • Tenancy • Equivalent of an account; tenancy contains all of your OCI resources • Provisioned with a single, top-level compartment called the ‘root compartment’; you can create other compartments • Compartment • Compartment is a collection of related resources (such as cloud networks, compute instances) that can be accessed only by those Groups that have been given permission by an admin • Think of it as a logical container used to organize and isolate related cloud resources; each resource is in exactly one compartment but resources can be connected/shared across compartments • Compartments are global and logical; distinct from physical “containers” like Regions and Availability Domains • Currently, Compartments can be renamed (but not deleted or moved) • Currently, compartments are only one level deep, but in the future, will be hierarchical (permissions in a parent compartment inherited by child compartments)
- 11. 2 - 11 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Tenancy Root Compartment Groups Administrators Default Administrator [email protected] Service Limits When you sign up for OCI Allow group Administrators to manage all-resources in tenancy Policy • Oracle sets up a default administrator for the account • Tenancy comes with a group called Administrators & the default administrator automatically belongs in this group • Administrator group cannot be deleted and there must always be at least one user in it • Any other users placed in the Administrators group will have full access to all of resources • Tenancy Policy gives Administrators group access to all resources – this policy can’t be deleted/changed • Root Compartment can hold all the cloud resources • Best practice is to create dedicated Compartments when you need to isolate resources
- 12. 2 - 12 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Home Region • Home region is where you sign-up and your master IAM resources are defined – these definitions can only be changed here (e.g. user passwords) • When you subscribe to another region, your IAM resources are available in the new region
- 13. 2 - 13 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Oracle Cloud Infrastructure Services Region – LHR Region – FRA IAM Service resources are global • IAM Service resources (compartments, users, groups, and policies) are global, so you can access them across all regions Region – PHX Region – IAD CompanyA Tenancy CompartmentA Instance A Instance B Instance C Instance D
- 14. 2 - 14 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Resource Locations Service Resource Location IAM Users, Groups, Policies, Compartments, API Signing Keys, Tags, Dynamic Groups Global All IAM resources are global Compute/ Block Volume Images Regional Instances Availability Domain Instances can be attached only to volumes in the same AD Block Volumes Availability Domain Block Volume Backup Region Backups can be restored as new volumes to any AD within the same region Database DB Systems Availability Domain Network Virtual Cloud Network (VCN) Region Subnet Availability Domain Security List, Route Table, Customer Premises Equipment (CPE), Internet Gateway, Dynamic Routing Gateway, LPG, DHCP Option Sets Region
- 15. 2 - 15 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Resource Locations Service Resource Location VCN Reserved public IPs Region Ephemeral Public IPs Availability Domain Load Balancer Load Balancer Region Object Storage Buckets Region Bucket is a regional resource but it can be accessed from any location as long as correct region-specific URL is used FSS Mount Target Availability Domain
- 16. 2 - 16 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Tagging • If you've ever added PHX-Project42-RCK21-FED to a title of a compute instance to remind yourself of its purpose, then you'll understand the value of tagging • Tagging allows you to organize, manage, and control your cloud resources with a organizational scheme you define • OCI Tagging allows you to: • Customize the organization of your resources • Control tag spam • Script bulk actions based on Tags • Services with Tagging support • IAM – compartments, policies, users, tenancy • Block Storage – volume_backups • Compute – console_histories, instance, instance-image, consoleconnections • VCN – route-tables, security-lists, dhcp-options, subnets, private-ips • Load Balancer • Object Storage • Database • Full list, https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/taggingoverview.htm
- 17. 2 - 17 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Free-form and Defined Tags • Free-form Tags – basic implementation • Comprises key and value only • Limited functionality • No defined schema • No access restriction • Defined Tags – more features and control • Are contained in Namespaces • Defined schema • Secured with Policy Free-form tags are a great introduction to tagging, but we recommend Defined tags for enterprise scenarios
- 18. 2 - 18 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Tag Namespace • A Tag Namespace is a container for tag keys with tag key definitions • Tag key definition specifies its key (environment) and what types of values are allowed (string, number, text, date, enumerations, etc.) Namespace Definition: Operations Key Definition: Environment Tag Operations.Environment = “Production” Namespace Key Value • Tag key definition or a tag namespace cannot be deleted, but retired. Retired tag namespaces and key definitions can no longer be applied to resources • You can reactivate a tag namespace or tag key definition that has been retired to reinstate its usage in your tenancy
- 19. 2 - 19 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Audit Service • Automatically records calls to OCI services API endpoints as log events • Log Information shows time of API activity, source and target of the activity, action and response • All OCI Services support Audit Logs • Perform diagnostics, track resource usage, monitor compliance, and collect security-related events using Audit Logs • By default, Audit logs are retained for 90 days. You can configure log retention for up to 365 days
- 20. 2 - 20 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Federation • Identity provider (IdP) provides identifying credentials and authentication for users. Common IdP include Microsoft Active Directory and Oracle Identity Cloud Service • OCI provides federation with Microsoft ADFS and Oracle IDCS • Unlike OCI users, federated users cannot access the user settings and manage OCI user credentials such as API signing keys
- 21. 2 - 21 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Summary • Identity and Access Management Service (IAM) enables you to control who can do what in your OCI account • IAM service Principals – Users/Groups, Instance Principals • Authentication done through username/password and API Signing Keys • Authorization done by defining specific privileges in Policies and associating them with Principals • Policies are comprised of one or more human-readable statements which specify what groups can access what resources and what level of access users in that group have • Compartment, a unique OCI feature, can be used to organize and isolate related cloud resources • OCI supports both free form tags and defined tags with a schema and secured by policies • OCI Audit Service Automatically records calls to OCI services API endpoints as log events
- 22. 2 - 22 Copyright © 2017, Oracle and/or its affiliates. All rights reserved. Questions/Feedback? [email protected]
Editor's Notes
- #1: Hi everyone, welcome to this lecture on OCI Identity and Access Management service
- #2: Después de completar esta lección, deberías poder: Describir los conceptos y términos utilizados en el servicio IAM. Inicia sesión y navega a través de la consola web. Configurar usuarios y grupos. Crear compartimentos y políticas. Administrar etiquetas y etiquetas espacios de nombresIn this lecture, we’ll describe the key concepts and terms used in the IAM service
- #3: El servicio de administración de acceso e identidad (IAM) le permite controlar quién puede hacer qué en su cuenta OCI Controla quién puede acceder a tu cuenta OCI Qué servicios y recursos pueden utilizar. Cómo pueden utilizar estos servicios y recursos. Recurso es un objeto de nube que crea y utiliza en OCI (por ejemplo, instancias de cómputo, volúmenes de almacenamiento en bloque, redes virtuales en la nube) IAM utiliza conceptos de identidad tradicionales como Principales, Usuarios, Grupos, Políticas OCI IAM introduce una nueva característica llamada Compartimentos El servicio IAM básicamente le permite controlar quién puede acceder a su cuenta OCI, qué servicios y recursos pueden usar y cómo pueden usar estos recursos. En el cloud, un recurso es un objeto que se crea como si fueran compute instances, etc. Hay 5 conceptos que debe conocer en IAM: Principales, Usuarios, Grupos, Políticas y Compartments. El compartment es una característica única de OCI que veremos en las diapositivas posteriores.
- #4: Un principal es una entidad IAM que tiene permiso para interactuar con los recursos OCI Dos tipos de principios: usuarios / grupos de IAM y directores de instancia Usuarios / Grupos IAM Cuando los clientes se registran para obtener una cuenta OCI, el primer usuario de IAM es el administrador predeterminado El administrador predeterminado configura otros usuarios y grupos de IAM Los usuarios tienen una configuración de identidades persistentes a través del servicio IAM para representar a personas o aplicaciones individuales Los usuarios hacen cumplir el principio de seguridad de privilegio mínimo El usuario no tiene permisos hasta que se coloque en uno (o más) grupos y Grupo que tiene al menos una politica con permiso de arrendamiento o un compartimento Grupo es una colección de usuarios que necesitan el mismo tipo de acceso a un conjunto particular de recursos. El mismo usuario puede ser miembro de múltiples grupos. Instance Principals Los Instance Principals permiten que las instancias (y las aplicaciones) realicen llamadas API contra otros servicios OCI, eliminando la necesidad de configurar las credenciales de usuario o un archivo de configuración …………………………………. Un principal es una entidad IAM que tiene permitido interactuar con los recursos de OCI. Los tres principios que pueden autenticar e interactuar con los recursos de OCI son los usuarios root, los usuarios y grupos de IAM y los principals de instancia. El usuario root está asociado con la cuenta OCI real y no puede ser restringido de ninguna manera. Los usuarios y grupos de IAM son identidades persistentes que se pueden controlar a través del servicio IAM.
- #5: El servicio IAM autentica a un Principal por - Usuario Contraseña Utiliza la contraseña para iniciar sesión en la consola web Un administrador le proporcionará una contraseña de un solo uso al configurar su cuenta En su primer inicio de sesión, se le pedirá que restablezca la contraseña Clave de firma API La clave de firma de la API es necesaria cuando se utiliza la API OCI junto con el SDK / CLI La clave es un par de claves RSA en el formato PEM (se requieren un mínimo de 2048 bits) En las interfaces, puede copiar y pegar la clave pública PEM ………………………………… Cuando inicia sesión en la consola OCI como usuario root o usuario de IAM, utiliza un nombre de usuario y una combinación de contraseña. Un programa que accede a la API con un usuario IAM o un usuario root utiliza una clave de firma de API
- #6: La autorización es el proceso de especificar qué acciones puede realizar un Principal autenticado La autorización en el servicio IAM se realiza mediante la definición de privilegios específicos en las políticas y su asociación con los principales Soporta el principio de seguridad de mínimo privilegio; de forma predeterminada, los usuarios no pueden realizar ninguna acción (las políticas no se pueden adjuntar a los usuarios, solo grupos) Las políticas se componen de una o más declaraciones que especifican qué grupos pueden acceder a qué recursos y qué nivel de acceso tienen los usuarios en ese grupo Las políticas están escritas en formato legible : Permitir al grupo <nombre_grupo> a <verb> <tipo de recurso> en tenencia Permitir que el grupo <nombre_grupo> a <verb> <tipo de recurso> en el compartimiento <nombre_de_compartimiento> [donde <condiciones>] Policy Attachment: Las politicas se pueden adjuntar a un compartimento o al tenancy. Donde lo adjuntas, controla quién puede modificarlo o borrarlo.
- #7: Esta diapositiva le muestra la sintaxis de las Políticas. Hay tres cosas necesarias para las políticas: una acción o verbo, tipo de recurso y si la política está en el nivel de tenencia o compartimiento. Además, IAM permite políticas granulares, por lo que se pueden aplicar a nivel agregado o nivel de recursos individuales. Las políticas también pueden incluir una condición más.
- #8: Esta diapositiva le muestra la sintaxis de las Políticas. Hay tres cosas necesarias para las políticas: una acción o verbo, tipo de recurso y si la política está en el nivel de tenencia o compartimiento. Además, IAM permite políticas granulares, por lo que se pueden aplicar a nivel agregado o nivel de recursos individuales. Las políticas también pueden incluir una condición más.
- #9: Esta diapositiva le muestra la sintaxis de las Políticas. Hay tres cosas necesarias para las políticas: una acción o verbo, tipo de recurso y si la política está en el nivel de tenencia o compartimiento. Además, IAM permite políticas granulares, por lo que se pueden aplicar a nivel agregado o nivel de recursos individuales. Las políticas también pueden incluir una condición más.
- #10: Tenencia Equivalente a una cuenta; tenencia contiene todos sus recursos OCI Suministrado con un solo compartimiento de nivel superior llamado "compartimiento root"; puedes crear otros compartimentos Compartimiento Compartment es una colección de recursos relacionados (como redes en la nube, instancias de cómputo) a los que solo pueden acceder aquellos Grupos a los que un administrador les ha dado permiso. Piense en ello como un contenedor lógico utilizado para organizar y aislar los recursos de la nube relacionados; cada recurso se encuentra exactamente en un compartimento, pero los recursos se pueden conectar / compartir entre compartimentos Los compartimientos son globales y lógicos; Diferentes de "contenedores" físicos como regiones y dominios de disponibilidad Actualmente, los compartimientos se pueden renombrar (pero no se pueden eliminar ni mover) Actualmente, los compartimentos solo tienen un nivel de profundidad, pero en el futuro serán jerárquicos (los permisos en un compartimiento principal heredados por compartimientos secundarios)
- #11: Oracle configura un administrador predeterminado para la cuenta Tenancy viene con un grupo llamado Administradores y el administrador predeterminado pertenece automáticamente a este grupo El grupo de administradores no se puede eliminar y siempre debe haber al menos un usuario en él Cualquier otro usuario ubicado en el grupo de administradores tendrá acceso completo a todos los recursos La política de Tenancy o arendamineto le da a los administradores el acceso a todos los recursos: esta política no se puede eliminar / cambiar El compartimento raíz o root, puede contener todos los recursos de la nube. La mejor práctica es crear compartimientos dedicados cuando necesite aislar recursos
- #12: La región de inicio es donde se registra y se definen los recursos principales de IAM: estas definiciones solo se pueden cambiar aquí (por ejemplo, contraseñas de usuario) Cuando se suscribe a otra región, sus recursos de IAM están disponibles en la nueva región
- #13: Los recursos del Servicio IAM (compartimentos, usuarios, grupos y políticas) son globales, por lo que puede acceder a ellos en todas las regiones
- #16: Si alguna vez ha agregado PHX-Project42-RCK21-FED a un título de una instancia de compute node para recordar su propósito, entonces comprenderá el valor de etiquetar El etiquetado le permite organizar, administrar y controlar sus recursos de nube con un esquema organizativo que usted define El etiquetado OCI le permite: Personaliza la organización de tus recursos. Etiqueta de control de spam Acciones masivas de script basadas en etiquetas Servicios con soporte de etiquetado IAM - compartimentos, políticas, usuarios, tenencia Block Storage - volume_backups Compute - console_histories, instance, instance-image, consoleconnections VCN: tablas de rutas, listas de seguridad, opciones dhcp, subredes, ips privadas Balanceador de carga Almacenamiento de objetos Base de datos
- #17: Etiquetas de forma libre - implementación básica Comprende clave y valor solamente Funcionalidad limitada Esquema no definido Sin restricción de acceso Etiquetas definidas - más características y control Están contenidos en los espacios de nombres Esquema definido Asegurado con la política Las etiquetas de forma libre son una excelente introducción al etiquetado, pero recomendamos etiquetas definidas para escenarios empresariales
- #18: Un Tag Namespace es un contenedor para claves de etiquetas con definiciones de claves de etiquetas La definición de clave de etiqueta especifica su clave (entorno) y los tipos de valores permitidos (cadena, número, texto, fecha, enumeraciones, etc.) La definición de clave de etiqueta o un espacio de nombre de etiqueta no se puede eliminar, pero se puede retirar. Los espacios de nombres de etiquetas retirados y las definiciones clave ya no se pueden aplicar a los recursos Puede reactivar un espacio de nombre de etiqueta o una definición de clave de etiqueta que se haya retirado para restablecer su uso en el tenancy
- #19: Registra automáticamente las llamadas a los endpoints de la API de servicios OCI como eventos de registro La información de registro muestra el tiempo de actividad de la API, el origen y el destino de la actividad, la acción y la respuesta Todos los servicios de OCI admiten registros de auditoría Realice diagnósticos, realice un seguimiento del uso de recursos, supervise el cumplimiento y recopile eventos relacionados con la seguridad mediante los registros de auditoría De forma predeterminada, los registros de auditoría se conservan durante 90 días. Puede configurar la retención de registros por hasta 365 días.
- #20: El proveedor de identidad (IdP) proporciona credenciales de identificación y autenticación para los usuarios. IdP común incluye Microsoft Active Directory y Oracle Identity Cloud Service OCI proporciona federación con Microsoft ADFS y Oracle IDCS A diferencia de los usuarios de OCI, los usuarios federados no pueden acceder a la configuración de usuario y administrar las credenciales de usuario de OCI, como las claves de firma de API
- #21: El servicio de administración de acceso e identidad (IAM) le permite controlar quién puede hacer qué en su cuenta OCI Principales de servicio de IAM - Usuarios / Grupos, Principios de instancia Autenticación realizada a través de nombre de usuario / contraseña y claves de firma de API Autorización realizada al definir privilegios específicos en Políticas y asociarlos con Principales Las políticas se componen de una o más declaraciones legibles por humanos que especifican qué grupos pueden acceder a qué recursos y qué nivel de acceso tienen los usuarios en ese grupo. El compartimiento, una característica única de OCI, se puede usar para organizar y aislar los recursos de la nube relacionados OCI admite etiquetas de forma libre y etiquetas definidas con un esquema y protegido por políticas Servicio de auditoría de OCI Graba automáticamente las llamadas a los puntos finales de la API de servicios OCI como eventos de registro