IAMの資格証明
IAMユーザーの資格証明(コンソールのパスワード、API署名キー、認証トークンおよび顧客の秘密キー)によって、リソースへのアクセス権が付与されます。Oracle Cloud Infrastructureリソースへの不正アクセスを防ぐためには、これらの資格証明を保護することが重要です。
資格証明を扱う際の一般的なガイドラインは、次のとおりです:
-
各IAMユーザーに十分な複雑度の強力なコンソール・パスワードを作成します。パスワードを複雑にするために次のことをお薦めします:
- パスワードの最小長は12文字です
- パスワードに大文字を1文字以上含めます
- パスワードに小文字を1文字以上含めます
- パスワードに記号を1文字以上含めます
- パスワードに数字を1文字以上含めます
- IAMパスワードおよびAPIキーは定期的に90日以内にローテーションします。これは、セキュリティ設計のベスト・プラクティスというだけではなく、コンプライアンス要件でもあります。たとえば、PCI-DSSセクション3.6.4に、「キー管理手順に、使用中の各キー・タイプの暗号期間が定義されており、定義された暗号期間終了時のキーの変更プロセスが定義されていることを確認する」と定められています。
- 機密性の高いIAM資格証明をソフトウェアにハード・コーディングしたり、広範なユーザーの目に触れる文書に記載したりしないでください。たとえば、GitHubにアップロードするコード、プレゼンテーションまたはインターネットでアクセスできるドキュメントなどです。意図せずに公開サイトで開示された資格証明をハッカーが使用して、顧客のクラウド・アカウントを侵害するケースは広く報道されています。ソフトウェア・アプリケーションがOracle Cloud Infrastructureリソースへのアクセスを必要とする場合は、インスタンス・プリンシパルの使用をお薦めします。インスタンス・プリンシパルの使用が実現できない場合は、ユーザー環境変数を使用して資格証明を格納したり、ローカルに格納された資格証明ファイルをAPIキーと一緒にOracle Cloud Infrastructure SDKまたはCLIで使用したりすることをかわりにお薦めします。
- 複数のユーザー間でIAM資格証明を共有しないでください。
- Oracle Identity Cloud Serviceを介してコンソール・ログインをフェデレートすることで、顧客は、IAMユーザー(特に管理者)のためにマルチファクタ認証(MFA)を使用できます。
APIキーをローテーションするときは、ローテーションしたキーが予期したとおりに動作することを確認してから、古いキーを無効にしてください。IAM APIキーの生成およびアップロードの詳細は、必要なキーとOCIDを参照してください。APIキーをローテーションするステップの概要は次のとおりです:
- 新しいAPIキーを生成し、アップロードします。
- SDKおよびCLIの構成ファイルを新しいAPIキーで更新します。
- SDKおよびCLIのコールが新しいキーで正しく動作することを確認します。
- 古いAPIキーを無効にします。ListApiKeysを使用して、すべてのアクティブなAPIキーをリスト表示します。