Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Temporärer erweiterter Zugriff für AWS-Konten
Jeder Zugriff auf Ihren ist mit einem gewissen Maß an Rechten AWS-Konto verbunden. Vertrauliche Vorgänge, wie das Ändern der Konfiguration für eine wertvolle Ressource, z. B. eine Produktionsumgebung, erfordern aufgrund ihres Umfangs und ihrer möglichen Auswirkungen eine besondere Behandlung. Temporärer erweiterter Zugriff (auch bekannt als just-in-time Zugriff) ist eine Möglichkeit, die Verwendung einer Berechtigung zur Ausführung einer bestimmten Aufgabe während eines bestimmten Zeitraums anzufordern, zu genehmigen und nachzuverfolgen. Temporärer erweiterter Zugriff ergänzt andere Formen der Zugriffskontrolle, wie z. B. Berechtigungssätze und Multi-Faktor-Authentifizierung.
AWS IAM Identity Center bietet die folgenden Optionen für die Verwaltung temporärer Zugriffsberechtigungen mit erhöhten Zugriffsrechten in verschiedenen geschäftlichen und technischen Umgebungen:
-
Vom Anbieter verwaltete und unterstützte Lösungen — AWS hat die IAM Identity Center-Integrationen ausgewählter Partnerangebote validiert und deren Fähigkeiten anhand gängiger Kundenanforderungen bewertet. Wählen Sie die Lösung, die am besten zu Ihrem Szenario passt, und folgen Sie den Anweisungen des Anbieters, um die Funktionen mit Identity Center zu aktivieren. IAM
-
Selbstverwaltung und Selbstunterstützung — Diese Option bietet einen Ausgangspunkt, wenn Sie an einem temporären erweiterten Zugriff interessiert sind. Sie können die Funktionen AWS dann selbst implementieren, anpassen und verwalten. Weitere Informationen finden Sie unter Temporäre Verwaltung erhöhter Zugriffsrechte () TEAM
.
Validierte AWS Sicherheitspartner für temporären Zugriff mit erhöhten Zugriffsrechten
AWS Sicherheitspartner verwenden unterschiedliche Ansätze, um gemeinsame Anforderungen an temporäre erhöhte Zugriffsrechte zu erfüllen. Wir empfehlen Ihnen, jede Partnerlösung sorgfältig zu prüfen, damit Sie eine auswählen können, die Ihren Bedürfnissen und Vorlieben am besten entspricht, einschließlich Ihres Unternehmens, der Architektur Ihrer Cloud-Umgebung und Ihres Budgets.
Anmerkung
Für die Notfallwiederherstellung empfehlen wir, dass Sie den Notfallzugriff auf die einrichten, AWS Management Console bevor es zu einer Unterbrechung kommt.
AWS Identity hat die Funktionen und die Integration mit IAM Identity Center für die folgenden just-in-time Angebote von AWS Sicherheitspartnern validiert:
-
CyberArk Secure Cloud Access
— Teil der CyberArk Identity Security Platform, dieses Angebot bietet erweiterten Zugriff auf On-Demand-Umgebungen AWS und Multi-Cloud-Umgebungen. Genehmigungen werden durch die Integration mit einem der beiden Tools gewährleistetITSM. ChatOps Alle Sitzungen können aus Prüfungs- und Compliance-Gründen aufgezeichnet werden. -
Tenable (previously Ermetic)
— Die Tenable Die Plattform umfasst die Bereitstellung von just-in-time privilegiertem Zugriff für Verwaltungsvorgänge in AWS und Multi-Cloud-Umgebungen. Sitzungsprotokolle aus allen Cloud-Umgebungen, einschließlich AWS CloudTrail Zugriffsprotokollen, sind in einer einzigen Oberfläche für Analysen und Prüfungen verfügbar. Die Funktion lässt sich in Unternehmens- und Entwicklertools wie Slack und Microsoft Teams integrieren. -
Okta Zugriffsanfragen
— Teil von Okta Identity Governance, ermöglicht Ihnen die Konfiguration eines Workflows für just-in-time Zugriffsanfragen mithilfe Okta als externer IAM Identity Center-Identitätsanbieter (IdP) und Ihre IAM Identity Center-Berechtigungssätze.
Diese Liste wird aktualisiert, sobald die Funktionen zusätzlicher Partnerlösungen und die Integration dieser Lösungen mit IAM Identity Center AWS bestätigt werden.
Anmerkung
Wenn Sie ressourcenbasierte Richtlinien, Amazon Elastic Kubernetes Service (AmazonEKS) oder AWS Key Management Service (AWS KMS) verwenden, informieren Sie sich, Referenzierung von Berechtigungssätzen in Ressourcenrichtlinien, Amazon EKS Cluster-Konfigurationszuordnungen und AWS KMS wichtigen Richtlinien bevor Sie sich für Ihre Lösung entscheiden. just-in-time
Temporäre erweiterte Zugriffsmöglichkeiten wurden zur Partnervalidierung bewertet AWS
AWS Identity hat bestätigt, dass die temporären erweiterten Zugriffsmöglichkeiten von CyberArk Secure Cloud Access
-
Benutzer können Zugriff auf einen Berechtigungssatz für einen vom Benutzer angegebenen Zeitraum anfordern und dabei das AWS Konto, den Berechtigungssatz, den Zeitraum und den Grund angeben.
-
Benutzer können den Genehmigungsstatus für ihre Anfrage erhalten.
-
Benutzer können eine Sitzung mit einem bestimmten Bereich nur aufrufen, wenn es eine genehmigte Anfrage mit demselben Umfang gibt und sie die Sitzung während des genehmigten Zeitraums aufrufen.
-
Es gibt eine Möglichkeit, festzulegen, wer Anfragen genehmigen kann.
-
Genehmiger können ihre eigenen Anfragen nicht genehmigen.
-
Genehmigende Personen haben eine Liste mit ausstehenden, genehmigten und abgelehnten Anfragen und können diese für Prüfer exportieren.
-
Genehmiger können ausstehende Anträge genehmigen und ablehnen.
-
Genehmiger können eine Notiz hinzufügen, in der sie ihre Entscheidung erläutern.
-
Genehmiger können eine genehmigte Anfrage zurückziehen und so die future Verwendung von erhöhtem Zugriff verhindern.
Anmerkung
Wenn ein Benutzer beim Widerruf einer genehmigten Anfrage mit erhöhten Zugriffsrechten angemeldet ist, bleibt seine Sitzung bis zu einer Stunde nach dem Widerruf der Genehmigung aktiv. Informationen zu Authentifizierungssitzungen finden Sie unter. Authentifizierung im IAM Identity Center
-
Benutzeraktionen und Genehmigungen stehen zur Prüfung zur Verfügung.