Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès surélevé temporaire pour Comptes AWS
Tout accès au vôtre Compte AWS implique un certain niveau de privilège. Les opérations sensibles, telles que la modification de la configuration d'une ressource de grande valeur, par exemple un environnement de production, nécessitent un traitement spécial en raison de leur portée et de leur impact potentiel. L'accès élevé temporaire (également appelé just-in-time accès) est un moyen de demander, d'approuver et de suivre l'utilisation d'une autorisation pour effectuer une tâche spécifique pendant une période spécifiée. L'accès élevé temporaire complète d'autres formes de contrôle d'accès, telles que les ensembles d'autorisations et l'authentification multifactorielle.
AWS IAM Identity Center propose les options suivantes pour la gestion temporaire des accès élevés dans différents environnements commerciaux et techniques :
-
Solutions gérées et prises en charge par le fournisseur : AWS a validé les intégrations IAM Identity Center des offres de certains partenaires et évalué leurs capacités par rapport à un ensemble commun d'exigences clients. Choisissez la solution qui correspond le mieux à votre scénario et suivez les instructions du fournisseur pour activer cette fonctionnalité avec IAM Identity Center.
-
Autogéré et autonome : cette option constitue un point de départ si vous êtes intéressé par un accès élevé temporaire AWS uniquement et que vous pouvez déployer, adapter et gérer vous-même cette fonctionnalité. Pour plus d'informations, consultez la section Gestion des accès élevés temporaires (TEAM)
.
Partenaires AWS de sécurité validés pour un accès élevé temporaire
AWS Les partenaires de sécurité utilisent différentes approches pour répondre à un ensemble commun d'exigences d'accès temporaire élevé. Nous vous recommandons d'examiner attentivement chaque solution partenaire afin de choisir celle qui correspond le mieux à vos besoins et à vos préférences, notamment à votre activité, à l'architecture de votre environnement cloud et à votre budget.
Note
Pour la reprise après sinistre, nous vous recommandons de configurer un accès d'urgence au AWS Management Console avant qu'une interruption ne survienne.
AWS Identity a validé les fonctionnalités et l'intégration avec IAM Identity Center pour les just-in-time offres suivantes des partenaires AWS de sécurité :
-
CyberArk Secure Cloud Access
— Fait partie du CyberArk Identity Security Platform, cette offre fournit un accès élevé à la demande à des environnements multicloud AWS et à des environnements multicloud. Les approbations sont traitées par le biais de l'intégration avec l'ITSMun ou l'autre ChatOps outil. Toutes les sessions peuvent être enregistrées à des fins d'audit et de conformité. -
Tenable (previously Ermetic)
— Le Tenable la plateforme inclut le provisionnement d' just-in-timeun accès privilégié pour les opérations administratives dans les environnements multicloud AWS et multicloud. Les journaux de session de tous les environnements cloud, y compris les journaux AWS CloudTrail d'accès, sont disponibles dans une interface unique à des fins d'analyse et d'audit. Cette fonctionnalité s'intègre aux outils d'entreprise et de développement tels que Slack et Microsoft Teams. -
Okta Demandes d'accès
— partie intégrante de Okta Identity Governance, vous permet de configurer un flux de travail de demande just-in-time d'accès à l'aide de Okta en tant que fournisseur IAM d'identité externe (IdP) d'Identity Center et de vos ensembles d'autorisations IAM Identity Center.
Cette liste sera mise à jour afin de AWS valider les capacités des solutions partenaires supplémentaires et l'intégration de ces solutions à IAM Identity Center.
Note
Si vous utilisez des politiques basées sur les ressources, Amazon Elastic Kubernetes Service EKS (Amazon AWS Key Management Service ) ou (Référencement des ensembles d'autorisations dans les politiques de ressources, les cartes de configuration Amazon EKS Cluster et les politiques AWS KMS clés)AWS KMS, vérifiez avant de choisir votre solution. just-in-time
Capacités d'accès élevé temporaires évaluées pour validation par les AWS partenaires
AWS Identity a confirmé que les fonctionnalités d'accès élevé temporaires proposées par CyberArk Secure Cloud Access
-
Les utilisateurs peuvent demander l'accès à un ensemble d'autorisations pour une période spécifiée par l'utilisateur, en spécifiant le AWS compte, l'ensemble d'autorisations, la période et le motif.
-
Les utilisateurs peuvent recevoir le statut d'approbation de leur demande.
-
Les utilisateurs ne peuvent pas appeler une session ayant une portée donnée, sauf s'il existe une demande approuvée ayant la même portée et s'ils appellent la session pendant la période approuvée.
-
Il existe un moyen de spécifier qui peut approuver les demandes.
-
Les approbateurs ne peuvent pas approuver leurs propres demandes.
-
Les approbateurs disposent d'une liste des demandes en attente, approuvées et rejetées et peuvent l'exporter pour les auditeurs.
-
Les approbateurs peuvent approuver et rejeter les demandes en attente.
-
Les approbateurs peuvent ajouter une note expliquant leur décision.
-
Les approbateurs peuvent révoquer une demande approuvée, empêchant ainsi l'utilisation future d'un accès élevé.
Note
Si un utilisateur est connecté avec un accès élevé lorsqu'une demande approuvée est révoquée, sa session reste active jusqu'à une heure après la révocation de l'approbation. Pour plus d'informations sur les sessions d'authentification, consultezAuthentification dans IAM Identity Center.
-
Les actions et approbations des utilisateurs sont disponibles pour audit.