本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
临时提升访问权限
对您的所有访问权限都 Amazon Web Services 账户 涉及一定级别的权限。敏感操作,例如更改高价值资源(例如生产环境)的配置,由于范围和潜在影响,需要特殊处理。临时提升访问权限(也称为 just-in-time 访问权限)是一种请求、批准和跟踪在指定时间内执行特定任务的权限使用情况的方法。临时提升的访问权限补充了其他形式的访问控制,例如权限集和多重身份验证。
Amazon IAM Identity Center 为在不同的业务和技术环境中临时提升访问权限管理提供了以下选项:
-
供应商管理和支持的解决方案 — Amazon 已验证了精选合作伙伴产品的 IAM Identity Center 集成,并根据一组常见的客户要求评估了他们的能力。选择最符合您的情景的解决方案,并按照提供者的指导通过 IAM Identity Center 启用该功能。
-
自我管理和自我支持 — 如果您 Amazon 只对临时提升访问权限感兴趣,并且可以自己部署、定制和维护该功能,则此选项提供了一个起点。有关更多信息,请参阅临时提升的访问权限管理 (TEAM)
。
经过验证 Amazon 的安全合作伙伴可获得临时提升访问权限
Amazon 安全合作伙伴使用不同的方法来满足一组常见的临时提升访问权限要求。我们建议您仔细审查每种合作伙伴解决方案,以便选择最适合您的需求和偏好的解决方案,包括您的业务、云环境的架构和预算。
注意
为了进行灾难恢复,我们建议您在中断发生 Amazon Web Services Management Console之前设置对的紧急访问权限。
Amazon Identity 已经验证了 Amazon 安全合作伙伴 just-in-time 提供的以下产品的功能和与 IAM Identity Center 的集成:
-
CyberArk Secure Cloud Access
— 作为其中的一部分CyberArk Identity Security Platform,该产品可按需提供对多云环境的访问权限 Amazon 和多云环境。批准是通过与 ITSM 或 ChatOps 工具集成来实现的。可以记录所有会话以进行审计和合规。 -
Tenable (previously Ermetic)
— 该Tenable平台包括为多云环境中的 Amazon 管理操作提供 just-in-time特权访问权限。来自所有云环境的会话日志(包括 Amazon CloudTrail 访问日志)均可在单一界面中进行分析和审计。该功能与 Slack 和 Microsoft Teams 等企业和开发者工具集成。 -
Okta访问请求
— Okta 身份管理的一部分,允许您使用Okta作为 IAM 身份中心外部身份提供商 (IdP) 和您的 IAM 身份中心权限集来配置 just-in-time 访问请求工作流程 。
此列表将进行更新,以 Amazon 验证其他合作伙伴解决方案的功能以及这些解决方案与 IAM Identity Center 的集成。
注意
如果您使用的是基于资源的策略,请先参阅 Amazon Elastic Kubernetes Service (Amazon EKS Amazon Key Management Service ) 或 (引用资源策略中的权限集、Amazon EKS 和 Amazon KMS)Amazon KMS,请在选择解决方案之前参阅。 just-in-time
评估了临时提升的访问权限以供 Amazon 合作伙伴验证
Amazon Identity 已验证CyberArk Secure Cloud AccessTenable
-
用户可以请求在用户指定的时间段内访问权限集,指定 Amazon 帐户、权限集、时间段和原因。
-
用户可以收到其请求的批准状态。
-
用户无法调用具有给定范围的会话,除非存在具有相同范围的已批准请求,并且他们在批准的时间段内调用了该会话。
-
有一种方法可以指定谁可以批准请求。
-
批准者无法批准自己的请求。
-
批准者有一份待处理、已批准和已拒绝的请求的列表,可以将其导出给审计员。
-
批准者可以批准和拒绝待处理的请求。
-
批准者可以添加注释来解释他们的决定。
-
批准者可以撤销已批准的申请,从而防止将来使用提升的访问权限。
注意
如果用户在撤销已批准的请求时使用提升的访问权限登录,则在撤销批准后,他们的会话将在长达一小时内保持活动状态。有关身份验证会话的更多信息,请参阅身份验证。
-
用户操作和批准可供审核。