SEC03-BP06 根據生命週期管理存取
監控並調整授予您的主體 (使用者、角色和群組) 在組織內其整個生命週期的許可。隨著使用者變更角色調整群組成員資格,並在使用者離開組織時移除存取權。
預期成果您可在組織內監控並調整主體整個生命週期的許可,進而降低不必要權限帶來的風險。您可在建立使用者時授予適當的存取權。您可以隨著使用者的職責變更修改存取權,並且在使用者不再為作用中狀態或離開組織時移除存取權。您可以集中管理使用者、角色和群組的變更。您使用自動化的方式將變更傳播到您的 AWS 環境。
常見的反模式:
-
您事先授予身分過多或過廣的存取權限,超過最初所需的範圍。
-
您未隨著身分的角色和職責經過一段時間發生變更,而審查並調整存取權限。
-
您未移除非作用中或已終止身分的作用中存取權限。此舉會增加未經授權存取的風險。
-
您未自動化身分生命週期管理。
未建立此最佳實務時的風險暴露等級:中
實作指引
在身分的整個生命週期中,仔細管理和調整您授予身分 (例如使用者、角色、群組) 的存取權限。此生命週期涵蓋初始入職階段、後續角色和職責變更,以及最終離職或終止。根據生命週期階段主動管理存取權,以維護適當的存取層級。遵守最低權限原則,以降低過度或不必要存取權限帶來的風險。
您可以直接在 AWS 帳戶 內管理 IAM 使用者的生命週期,或透過從員工身分提供者至 AWS IAM Identity Center 的聯合來進行管理。針對 IAM 使用者,您可以在 AWS 帳戶 內建立、修改和刪除使用者及其關聯的許可。針對聯合身分使用者,您可以使用 IAM Identity Center 管理生命週期,方法是透過跨網域身分管理系統 (SCIM) 協定,同步源自您組織身分提供者的使用者和群組資訊。
SCIM 是開放標準協定,可在不同系統中自動佈建和解除佈建使用者身分。透過將身分提供者與使用 SCIM 的 IAM Identity Center 整合,您就可以自動同步使用者和群組資訊,協助驗證組織是否根據其授權身分來源的變更授予、修改或撤銷存取權限。
隨著組織內員工的角色和職責改變,調整他們的存取權限。您可以使用 IAM Identity Center 的許可集來定義不同的工作角色或職責,並將其與適當的 IAM 政策和許可關聯。當員工的角色變更時,您可以更新其指派的許可集,以反映他們的新職責。確認他們具有必要的存取權,同時遵守最低權限原則。
實作步驟
-
定義並記錄存取管理生命週期流程,包括授予初始存取權、定期審查和離職的程序。
-
實作 IAM 角色、群組和許可界限,以共同管理存取權,並強制執行受允許的最高存取層級。
-
使用 IAM Identity Center 與聯合身分提供者 (例如 Microsoft Active Directory、Okta、Ping Identity) 整合,使其作為使用者和群組資訊的授權來源。
-
使用 SCIM 協定可將來自身分提供者的使用者和群組資訊同步到 IAM Identity Center 的身分存放區中。
-
在 IAM Identity Center 中建立許可集,以代表組織內不同的工作角色或職責。為每個許可集定義適當的 IAM 政策和許可。
-
實作定期存取權審查、提示撤銷存取權,以及持續改進存取權管理生命週期流程。
-
為員工提供有關存取權管理最佳實務的培訓和認知。
資源
相關的最佳實務:
相關文件:
相關影片:
