本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
临时提升 Amazon Web Services 账户访问权限
对您的的所有访问权限都 Amazon Web Services 账户 涉及一定级别的权限。更改高价值资源(例如生产环境)的配置等敏感操作,因范围和潜在影响需要特殊处理。临时提升访问权限(也称为 just-in-time访问权限)是一种方法,用于请求、批准和跟踪在指定时间内执行特定任务的权限使用情况。临时提升的访问权限补充了其他形式的访问控制,例如权限集和多重身份验证。
Amazon IAM Identity Center 提供了下列在不同的业务和技术环境中临时提升访问权限管理的选项:
-
供应商管理和支持的解决方案 – Amazon 已验证精选合作伙伴产品的 IAM Identity Center 集成,并根据一组常见的客户要求评估了其能力。选择最符合您的情景的解决方案,并按照提供者的指导通过 IAM Identity Center 启用该功能。
-
自行管理和自我支持 — 若您 Amazon 仅对临时提升的访问权限感兴趣并愿意自行部署、定制和维护该功能,此选项提供了一个起点。有关更多信息,请参阅临时提升的访问权限管理 (TEAM)
。
经过验证的 Amazon 安全合作伙伴可获得临时提升的访问权限
Amazon 安全合作伙伴使用不同的方法来满足一组常见的临时提升访问权限要求。建议仔细审查每个合作伙伴解决方案,以便选择最适合您需求和偏好(包括业务、云环境架构和预算)的解决方案。
注意
为了进行灾难恢复,建议在中断发生之前设置对 Amazon Web Services Management Console的紧急访问权限。
Amazon Identity 已验证 Amazon 安全合作伙伴 just-in-time提供的以下产品的功能以及与 IAM Identity Center 的集成:
-
CyberArk Secure Cloud Access
— 作为其中的一部分CyberArk Identity Security Platform,该产品可按需提供对多云环境 Amazon 的高级访问权限。批准是通过与 ITSM 或 ChatOps 工具的集成来完成的。可以记录所有会话以进行审计和合规。 -
Tenable (previously Ermetic)
— 该Tenable平台包括为多云环境中的 Amazon 管理操作提供 just-in-time特权访问权限。来自所有云环境的会话日志(包括 Amazon CloudTrail 访问日志)均可在单一界面中进行分析和审计。该功能与 Slack 和 Microsoft Teams 等企业和开发人员工具集成。 -
Okta访问请求
— Okta 身份管理的一部分,允许您使用Okta作为 IAM 身份中心外部身份提供商 (IdP) 和您的 IAM 身份中心权限集来配置 just-in-time访问请求工作流程 。
随着 Amazon 验证其他合作伙伴解决方案的功能以及这些解决方案与 IAM Identity Center 的集成,此列表将进行更新。合作伙伴可以通过 Amazon 合作伙伴网络 (APN) 安全能力来提名他们的解决方案。有关更多信息,请参阅Amazon 安全能力合作伙伴
注意
如果使用的是基于资源的策略、Amazon Elastic Kubernetes Service(Amazon EKS)或( Amazon Key Management Service 引用资源策略、Amazon EKS 集群 config 映射和 Amazon KMS 密钥政策中的权限集)Amazon KMS,请在选择解决方案之前参阅:。 just-in-time
为 Amazon 合作伙伴验证评估的临时提升访问能力
Amazon Identity 已验证CyberArk Secure Cloud AccessTenable
-
用户可以请求在用户指定的时间段内访问权限集,并指定 Amazon 帐户、权限集、权限集。
-
用户可以收到其请求的批准状态。
-
用户无法调用给定范围的会话,除非存在具有相同范围的已批准请求并且用户在批准的时间段内调用会话。
-
有一种方法可以指定谁可以批准请求。
-
审批者无法批准自己的请求。
-
审批者拥有待处理、已批准和已拒绝请求的列表,并可以将其导出以供审核员使用。
-
审批者可以批准或拒绝待处理的请求。
-
审批者可以添加注释来解释其决定。
-
审批者可以撤销已批准的请求,防止将来使用提升的访问权限。
注意
如果用户在撤销已批准的请求时使用提升的访问权限登录,则该用户将立即失去访问权限。有关身份验证会话的更多信息,请参阅IAM Identity Center 中的身份验证。
-
用户操作和批准可供审核。