临时提升 Amazon Web Services 账户访问权限 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

临时提升 Amazon Web Services 账户访问权限

对您的所有访问权限都 Amazon Web Services 账户 涉及一定级别的权限。更改高价值资源(例如生产环境)的配置等敏感操作,因范围和潜在影响需要特殊处理。临时提升访问权限(也称为 just-in-time访问权限)是一种请求、批准和跟踪在指定时间内执行特定任务的权限使用情况的方法。临时提升的访问权限补充了其他形式的访问控制,例如权限集和多重身份验证。

Amazon IAM Identity Center 为在不同的业务和技术环境中临时提升访问权限管理提供了以下选项:

  • 供应商管理和支持的解决方案 — Amazon 已验证了精选合作伙伴产品的 Ident IAM ity Center 集成,并根据一组常见的客户要求评估了他们的能力。选择最符合您的场景的解决方案,并按照提供商的指导通过 Ident IAM ity Center 启用该功能。

  • 自我管理和自我支持 — 如果您 Amazon 只对临时提升访问权限感兴趣,并且可以自己部署、定制和维护该功能,则此选项提供了一个起点。有关更多信息,请参阅临时提升的访问权限管理 (TEAM)

经过验证 Amazon 的安全合作伙伴可获得临时提升访问权限

Amazon 安全合作伙伴使用不同的方法来满足一组常见的临时提升访问权限要求。建议仔细审查每个合作伙伴解决方案,以便选择最适合您需求和偏好(包括业务、云环境架构和预算)的解决方案。

注意

为了进行灾难恢复,建议在中断发生之前设置对 Amazon Web Services Management Console的紧急访问权限

Amazon Identity 已经验证了 Amazon 安全合作伙伴 just-in-time提供的以下产品的功能和与 IAM Identity Center 的集成:

  • CyberArk Secure Cloud Access— 其中的一部分 CyberArk Identity Security Platform,该产品可按需提供对多云环境的访问权限 Amazon 和多云环境。批准是通过与ITSM或 ChatOps 工具集成来实现的。可以记录所有会话以进行审计和合规。

  • Tenable (previously Ermetic)— 那个 Tenable 平台包括为多云环境中的 Amazon 管理操作提供 just-in-time特权访问权限。来自所有云环境的会话日志(包括 Amazon CloudTrail 访问日志)均可在单一界面中进行分析和审计。该功能与 Slack 和 Microsoft Teams 等企业和开发人员工具集成。

  • Okta 访问请求 — 的一部分 Okta 身份治理,允许您使用配置 just-in-time访问请求工作流程 Okta作为IAM身份中心外部身份提供者 (IdP) 和您的IAM身份中心权限集。

此列表将进行更新,以 Amazon 验证其他合作伙伴解决方案的功能以及这些解决方案与 Ident IAM ity Center 的集成。

注意

如果您使用的是基于资源的策略,请先参阅 Amazon Elastic Kubernetes ServiceEKS(亚马逊)或( Amazon Key Management Service 在资源策略、Amazon EKS 集群配置映射和 Amazon KMS 密钥策略中引用权限集)Amazon KMS,请在选择解决方案之前参阅。 just-in-time

评估了临时提升的访问权限以供 Amazon 合作伙伴验证

Amazon Identity 已验证临时提升的访问权限由 CyberArk Secure Cloud Access, TenableOkta 访问请求可满足以下常见的客户要求:

  • 用户可以请求在用户指定的时间段内访问权限集,指定 Amazon 帐户、权限集、时间段和原因。

  • 用户可以收到其请求的批准状态。

  • 用户无法调用给定范围的会话,除非存在具有相同范围的已批准请求并且用户在批准的时间段内调用会话。

  • 有一种方法可以指定谁可以批准请求。

  • 审批者无法批准自己的请求。

  • 审批者拥有待处理、已批准和已拒绝请求的列表,并可以将其导出以供审核员使用。

  • 审批者可以批准或拒绝待处理的请求。

  • 审批者可以添加注释来解释其决定。

  • 审批者可以撤销已批准的请求,防止将来使用提升的访问权限。

    注意

    如果用户在撤销已批准的请求时使用提升的访问权限登录,则其会话在批准撤销后最多一小时内保持活跃状态。有关身份验证会话的更多信息,请参阅身份中心中的IAM身份验证

  • 用户操作和批准可供审核。