Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses sementara yang ditinggikan untuk Akun AWS
Semua akses ke Anda Akun AWS melibatkan beberapa tingkat hak istimewa. Operasi sensitif, seperti mengubah konfigurasi untuk sumber daya bernilai tinggi, misalnya, lingkungan produksi, memerlukan perlakuan khusus karena ruang lingkup dan dampak potensial. Akses tinggi sementara (juga dikenal sebagai just-in-time akses) adalah cara untuk meminta, menyetujui, dan melacak penggunaan izin untuk melakukan tugas tertentu selama waktu yang ditentukan. Akses tinggi sementara melengkapi bentuk kontrol akses lainnya, seperti set izin dan otentikasi multi-faktor.
AWS IAM Identity Center menyediakan opsi berikut untuk manajemen akses tinggi sementara di lingkungan bisnis dan teknis yang berbeda:
-
Solusi yang dikelola vendor dan didukung - AWS telah memvalidasi integrasi Pusat IAM Identitas dari penawaran mitra terpilih dan menilai kemampuan mereka terhadap serangkaian persyaratan pelanggan yang umum. Pilih solusi yang paling sesuai dengan skenario Anda dan ikuti panduan penyedia untuk mengaktifkan kemampuan dengan IAM Identity Center.
-
Dikelola sendiri dan didukung sendiri — Opsi ini memberikan titik awal jika Anda tertarik pada akses sementara yang ditinggikan AWS saja dan Anda dapat menerapkan, menyesuaikan, dan mempertahankan kemampuan sendiri. Untuk informasi selengkapnya, lihat Manajemen akses tinggi sementara (TEAM)
.
Mitra AWS Keamanan yang Divalidasi untuk akses sementara yang ditingkatkan
AWS Mitra Keamanan menggunakan pendekatan yang berbeda untuk mengatasi serangkaian persyaratan akses sementara yang ditinggikan secara umum. Kami menyarankan Anda meninjau setiap solusi mitra dengan cermat, sehingga Anda dapat memilih salah satu yang paling sesuai dengan kebutuhan dan preferensi Anda, termasuk bisnis Anda, arsitektur lingkungan cloud Anda, dan anggaran Anda.
catatan
Untuk pemulihan bencana, kami sarankan Anda mengatur akses darurat ke AWS Management Console sebelum gangguan terjadi.
AWS Identity telah memvalidasi kemampuan dan integrasi dengan IAM Identity Center untuk just-in-time penawaran berikut oleh AWS Mitra Keamanan:
-
CyberArk Secure Cloud Access
— Bagian dari CyberArk Identity Security Platform, penawaran ini menyediakan akses tinggi sesuai permintaan ke AWS dan lingkungan multi-cloud. Persetujuan ditangani melalui integrasi dengan salah satu ITSM atau ChatOps perkakas. Semua sesi dapat direkam untuk audit dan kepatuhan. -
Tenable (previously Ermetic)
— Tenable Platform mencakup penyediaan akses just-in-time istimewa untuk operasi administratif di AWS dan lingkungan multi-cloud. Log sesi dari semua lingkungan cloud, termasuk log AWS CloudTrail akses, tersedia dalam satu antarmuka untuk analisis dan audit. Kemampuan ini terintegrasi dengan alat perusahaan dan pengembang seperti Slack dan Microsoft Teams. -
Okta Permintaan Akses
— Bagian dari Okta Tata Kelola Identitas, memungkinkan Anda mengonfigurasi alur kerja permintaan just-in-time akses menggunakan Okta sebagai penyedia IAM identitas eksternal Pusat Identitas (iDP) dan set izin Pusat IAM Identitas Anda.
Daftar ini akan diperbarui sebagai AWS memvalidasi kemampuan solusi mitra tambahan dan integrasi solusi ini dengan IAM Identity Center.
catatan
Jika Anda menggunakan kebijakan berbasis sumber daya, Amazon Elastic Kubernetes Service (EKSAmazon),AWS KMS atau () AWS Key Management Service , lihat sebelum memilih solusi Anda. Mereferensikan set izin dalam kebijakan sumber daya, peta konfigurasi Amazon EKS Cluster, dan AWS KMS kebijakan utama just-in-time
Kemampuan akses sementara yang ditingkatkan dinilai untuk validasi AWS mitra
AWS Identitas telah memvalidasi bahwa kemampuan akses tinggi sementara yang ditawarkan oleh CyberArk Secure Cloud Access
-
Pengguna dapat meminta akses ke set izin untuk periode waktu yang ditentukan pengguna, menentukan AWS akun, set izin, periode waktu, dan alasan.
-
Pengguna dapat menerima status persetujuan untuk permintaan mereka.
-
Pengguna tidak dapat memanggil sesi dengan cakupan tertentu, kecuali ada permintaan yang disetujui dengan cakupan yang sama dan mereka memanggil sesi selama periode waktu yang disetujui.
-
Ada cara untuk menentukan siapa yang dapat menyetujui permintaan.
-
Penyetuju tidak dapat menyetujui permintaan mereka sendiri.
-
Pemberi persetujuan memiliki daftar permintaan yang tertunda, disetujui, dan ditolak dan dapat mengekspornya untuk auditor.
-
Pemberi persetujuan dapat menyetujui dan menolak permintaan yang tertunda.
-
Pemberi persetujuan dapat menambahkan catatan yang menjelaskan keputusan mereka.
-
Pemberi persetujuan dapat mencabut permintaan yang disetujui, mencegah penggunaan akses yang ditinggikan di masa mendatang.
catatan
Jika pengguna masuk dengan akses tinggi saat permintaan yang disetujui dicabut, sesi mereka tetap aktif hingga satu jam setelah persetujuan dicabut. Untuk informasi tentang sesi otentikasi, lihatOtentikasi di Pusat IAM Identitas.
-
Tindakan dan persetujuan pengguna tersedia untuk audit.