実行できるユーザーvs実行者: OCI IAMでのユーザー資格証明の監査 (2026/02/24)
実行できるユーザーvs実行者: OCI IAMでのユーザー資格証明の監査 (2026/02/24) https://www.ateam-oracle.com/who-can-vs-who-did-auditing-user-credentials-in-oci-iam 投稿者: Dinesh Maricherla | Principal Solution Engineer 前回の 記事 では、OCI IAM Identity Domainにおけるユーザー機能を一覧表示および分析する方法を検討し、「 各ユーザーに何が許可されているか」という質問に答えました 例えば、ユーザーはAPIキー、認証トークン、SMTP認証情報、顧客秘密キーなどを作成できるでしょうか?この情報は有用ですが、あくまで 理論的なアクセス権限 を示すものに過ぎません。多くの現実のシナリオでは、管理者や監査担当者は、より重要な追加の質問に答える必要があります。 このユーザーは資格情報を作成することが許可されていますが、実際に資格情報を作成したのでしょうか? 権限付与と認証情報の設定には重大な違いがあります。認証情報の実際の状態を検証しなければ、潜在的なアクセス状況しか把握できず、実際の使用状況は把握できません。 この投稿では、そのギャップを埋める小さなPythonユーティリティを紹介します。このユーティリティは、ユーザーを列挙し、有効化されている機能を検査し、対応する認証情報をアイデンティティドメインに照会し、結果をCSVファイルにエクスポートして簡単に確認できるようにします。 これは何の問題を解決するのか テナント管理者とセキュリティ チームは、頻繁に次の操作を行う必要があります。 機密性の高い資格情報を作成できるユーザーを特定する 実際に資格情報が設定されているユーザーと区別する 未使用の機能と資格情報の拡散を検出する 具体的な証拠で監査とアクセスレビューをサポートする ケイパビリティフラグだけに頼るのは can_use_* 不十分です。効果的なガバナンスには、 権限 と 実際に設定されたオブジェクト を関連付ける必要があります。このスクリプトは、その関連付けを実行します。 アプローチ スクリプトはシンプルで透過的なワークフローに従います。...