本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
临时提升 AWS 账户访问权限
对您的所有访问权限都 AWS 账户 涉及一定级别的权限。更改高价值资源(例如生产环境)的配置等敏感操作,因范围和潜在影响需要特殊处理。临时提升访问权限(也称为 just-in-time访问权限)是一种请求、批准和跟踪在指定时间内执行特定任务的权限使用情况的方法。临时提升的访问权限补充了其他形式的访问控制,例如权限集和多重身份验证。
AWS IAM Identity Center 为在不同的业务和技术环境中临时提升访问权限管理提供了以下选项:
-
供应商管理和支持的解决方案 – AWS 已验证精选合作伙伴产品的 IAM Identity Center 集成,并根据一组常见的客户要求评估了其能力。选择最符合您的情景的解决方案,并按照提供者的指导通过 IAM Identity Center 启用该功能。
-
自我管理和自我支持 — 如果您 AWS 只对临时提升访问权限感兴趣,并且可以自己部署、定制和维护该功能,则此选项提供了一个起点。有关更多信息,请参阅临时提升的访问权限管理 (TEAM)
。
经过验证 AWS 的安全合作伙伴可获得临时提升访问权限
AWS 安全合作伙伴使用不同的方法来满足一组常见的临时提升访问权限要求。建议仔细审查每个合作伙伴解决方案,以便选择最适合您需求和偏好(包括业务、云环境架构和预算)的解决方案。
注意
为了进行灾难恢复,建议在中断发生之前设置对 AWS Management Console的紧急访问权限。
AWS Identity 已经验证了 AWS 安全合作伙伴 just-in-time提供的以下产品的功能和与 IAM Identity Center 的集成:
-
CyberArk Secure Cloud Access
— 其中的一部分 CyberArk Identity Security Platform,该产品可按需提供对多云环境的访问权限 AWS 和多云环境。批准是通过与 ITSM 或 ChatOps 工具集成来实现的。可以记录所有会话以进行审计和合规。 -
Tenable (previously Ermetic)
— 那个 Tenable 平台包括为多云环境中的 AWS 管理操作提供 just-in-time特权访问权限。来自所有云环境的会话日志(包括 AWS CloudTrail 访问日志)均可在单一界面中进行分析和审计。该功能与 Slack 和 Microsoft Teams 等企业和开发人员工具集成。 -
Okta 访问请求
— 的一部分 Okta 身份治理,允许您使用配置 just-in-time访问请求工作流程 Okta 作为 IAM 身份中心外部身份提供商 (IdP) 和您的 IAM 身份中心权限集。
此列表将进行更新,以 AWS 验证其他合作伙伴解决方案的功能以及这些解决方案与 IAM Identity Center 的集成。
注意
如果您使用的是基于资源的策略,请先参阅 Amazon Elastic Kubernetes Service (Amazon EKS AWS Key Management Service ) 或 (在资源策略、Amazon EKS 集群配置映射和 AWS KMS 密钥策略中引用权限集)AWS KMS,请在选择解决方案之前参阅。 just-in-time
评估了临时提升的访问权限以供 AWS 合作伙伴验证
AWS Identity 已验证临时提升的访问权限由 CyberArk Secure Cloud Access
-
用户可以请求在用户指定的时间段内访问权限集,指定 AWS 帐户、权限集、时间段和原因。
-
用户可以收到其请求的批准状态。
-
用户无法调用给定范围的会话,除非存在具有相同范围的已批准请求并且用户在批准的时间段内调用会话。
-
有一种方法可以指定谁可以批准请求。
-
审批者无法批准自己的请求。
-
审批者拥有待处理、已批准和已拒绝请求的列表,并可以将其导出以供审核员使用。
-
审批者可以批准或拒绝待处理的请求。
-
审批者可以添加注释来解释其决定。
-
审批者可以撤销已批准的请求,防止将来使用提升的访问权限。
注意
如果用户在撤销已批准的请求时使用提升的访问权限登录,则其会话在批准撤销后最多一小时内保持活跃状态。有关身份验证会话的更多信息,请参阅IAM Identity Center 中的身份验证。
-
用户操作和批准可供审核。
