SEC03-BP06 基于生命周期管理访问权限
在企业内主体(用户、角色和群组)的整个生命周期中,监控和调整授予主体的权限。在用户更改角色时调整组成员资格,并在用户离开企业时移除访问权限。
期望结果:在企业中的主体的整个生命周期内,监控和调整主体的权限,从而降低授予不必要权限带来的风险。在创建用户时授予合适的访问权限。随着用户职责的变化,您会修改访问权限,当用户不再活跃或已离开企业时,您会删除访问权限。您集中管理用户、角色和组的更改。您使用自动化方法将更改传播到 AWS 环境中。
常见反面模式:
-
您预先向身份授予过多或宽泛的访问权限,这些权限超出了最初的需求。
-
当身份的角色和职责随着时间的推移而变化时,您没有审查和调整访问权限。
-
您让已经无效或已经离职的身份保留了有效的访问权限。这会增加未经授权访问的风险。
-
您没有自动管理身份生命周期。
在未建立这种最佳实践的情况下暴露的风险等级:中等
实施指导
在身份(例如用户、角色、组)的整个生命周期中,谨慎管理和调整授予身份的访问权限。这一生命周期包括初始入职阶段、角色和职责的持续变化以及最终的离职或终止。根据生命周期的阶段主动管理访问权限,维护正确的访问权限级别。遵守最低权限原则,减少授予过多或不必要访问权限的风险。
您可以直接在 AWS 账户中管理 IAM users的生命周期,也可以通过从员工身份提供者到 AWS IAM Identity Center 的联合身份验证来管理。对于 IAM users,您可以在 AWS 账户中创建、修改和删除用户及其关联权限。对于联合用户,您可以使用 IAM Identity Center,通过跨域身份管理系统(SCIM,System for Cross-domain Identity Management)协议,从企业的身份提供者同步用户和组信息,从而管理这些用户的生命周期。
SCIM 是一种开放标准协议,用于跨不同系统自动预置和取消预置用户身份。通过使用 SCIM 将身份提供者与 IAM Identity Center 集成,您可以自动同步用户和组信息,这有助于验证访问权限的授予、修改或撤销,而这些操作是基于企业中权威身份来源中的更改而进行的。
随着企业内员工角色和职责的变化,相应地调整员工的访问权限。您可以使用 IAM Identity Center 的权限集来定义不同的工作角色或职责,并将其关联到相应的 IAM 策略和权限。当员工的角色发生变化时,您可以更新向他们分配的权限集以反映他们的新职责。验证他们是否具有必要的访问权限,同时还遵守了最低权限原则。
实施步骤
-
定义并记录访问权限管理生命周期流程,包括授予初始访问权限、定期审查和离职的程序。
-
实施 IAM 角色、组和权限边界,以便从整体上管理访问权限并实施允许的最高访问权限级别。
-
使用 IAM Identity Center,与联合身份提供者(例如 Microsoft Active Directory、Okta、Ping Identity)集成,作为用户和组信息的权威来源。
-
使用 SCIM 协议,将用户和组信息从身份提供者同步到 IAM Identity Center 的身份存储中。
-
在 IAM Identity Center 中创建权限集,用于体现企业中的不同工作角色或职责。为每个权限集定义相应的 IAM 策略和权限。
-
实施定期的访问权限审查,及时撤销访问权限,并持续改进访问权限管理生命周期流程。
-
向员工提供访问权限管理最佳实践的培训,增强员工的意识。
资源
相关最佳实践:
相关文档:
相关视频:
