暫時提升對 的存取 AWS 帳戶 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

暫時提升對 的存取 AWS 帳戶

對 的所有存取 AWS 帳戶 都涉及一定層級的許可。敏感操作,例如變更高價值資源的組態,例如生產環境,由於範圍和潛在影響,需要特殊處理。暫時提升存取 (也稱為 just-in-time存取) 是一種請求、核准和追蹤在特定時間內執行特定任務之許可的使用方式。暫時提升存取可補充其他形式的存取控制,例如許可集和多重要素身分驗證。

AWS IAM Identity Center 為不同商業和技術環境中的暫時提升存取管理提供下列選項:

  • 供應商管理和支援的解決方案 – AWS 已驗證特定合作夥伴方案的 IAM Identity Center 整合,並根據一組常見的客戶要求評估其功能。選擇最符合您案例的解決方案,並遵循供應商的指示,以使用 IAM Identity Center 啟用 功能。

  • 自我管理與自我支援 – 如果您有興趣暫時提升 AWS 對 的存取,且您可以自行部署、自訂和維護 功能,此選項會提供起點。如需詳細資訊,請參閱暫時提升存取管理 (TEAM)

已驗證 AWS 的安全合作夥伴,用於暫時提升存取

AWS Security Partners 使用不同的方法來解決一組常見的暫時提升存取需求。建議您仔細檢閱每個合作夥伴解決方案,以便選擇最符合您需求和偏好的解決方案,包括您的業務、雲端環境的架構和預算。

注意

對於災難復原,我們建議您在發生中斷之前設定對 的緊急存取 AWS Management Console

AWS Identity 已針對 AWS Security Partners 提供的下列 just-in-time產品,驗證功能並與 IAM Identity Center 整合:

  • CyberArk Secure Cloud Access – 的一部分 CyberArk Identity Security Platform,這項服務提供對 AWS 和多雲端環境的隨需提升存取。核准是透過與 ITSM或 ChatOps 工具整合來解決。可以記錄所有工作階段以進行稽核和合規。

  • Tenable (previously Ermetic) – 的 Tenable 平台包括為 just-in-time AWS 和多雲端環境中的管理操作佈建權限存取。所有雲端環境的工作階段日誌,包括 AWS CloudTrail 存取日誌,都可以在單一介面中進行分析和稽核。該功能與企業和開發人員工具整合,例如 Slack 和 Microsoft Teams。

  • Okta 存取請求 – 第 部分 Okta Identity Governance,可讓您使用 just-in-time設定存取請求工作流程 Okta 作為 IAM Identity Center 外部身分提供者 IdP ) 和 IAM Identity Center 許可集。

此清單將更新為 AWS 驗證其他合作夥伴解決方案的功能,以及將這些解決方案與 IAM Identity Center 整合。

注意

如果您使用的是資源型政策、Amazon Elastic Kubernetes Service (Amazon EKS) 或 AWS Key Management Service (AWS KMS),請在選擇 just-in-time解決方案資源政策、Amazon EKS Cluster 組態映射和 AWS KMS 金鑰政策中的參考許可集之前參閱 。

評估用於 AWS 合作夥伴驗證的暫時提升存取功能

AWS Identity 已驗證由 提供的暫時提升存取功能 CyberArk Secure Cloud Access, Tenable、 和 Okta 存取請求可解決下列常見的客戶要求:

  • 使用者可以請求存取使用者指定時段的許可集,指定 AWS 帳戶、許可集、時段和原因。

  • 使用者可以接收其請求的核准狀態。

  • 使用者無法叫用具有指定範圍的工作階段,除非有具有相同範圍的已核准請求,且他們在核准的期間內叫用工作階段。

  • 有一種方式可以指定誰可以核准請求。

  • 核准者無法核准自己的請求。

  • 核准者擁有待處理、已核准和拒絕的請求清單,並可將其匯出給稽核人員。

  • 核准者可以核准和拒絕待處理的請求。

  • 核准者可以新增備註來說明其決定。

  • 核准者可以撤銷核准的請求,防止日後使用提升的存取。

    注意

    如果使用者在撤銷核准請求時以提升的存取權登入,其工作階段會在撤銷核准後維持作用中狀態長達一小時。如需有關身分驗證工作階段的資訊,請參閱 IAM Identity Center 中的身分驗證

  • 使用者動作和核准可供稽核。