Accès surélevé temporaire - AWS IAM Identity Center
Partenaires AWS de sécurité validés pour un accès élevé temporaireCapacités d'accès élevé temporaires évaluées en vue de la validation par les AWS partenaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès surélevé temporaire

Tout accès à votre compte Compte AWS implique un certain niveau de privilège. Les opérations sensibles, telles que la modification de la configuration d'une ressource de grande valeur, par exemple un environnement de production, nécessitent un traitement spécial en raison de leur portée et de leur impact potentiel. L'accès élevé temporaire (également appelé just-in-time accès) est un moyen de demander, d'approuver et de suivre l'utilisation d'une autorisation pour effectuer une tâche spécifique pendant une période spécifiée. L'accès élevé temporaire complète d'autres formes de contrôle d'accès, telles que les ensembles d'autorisations et l'authentification multifactorielle.

AWS IAM Identity Center propose les options suivantes pour la gestion temporaire des accès élevés dans différents environnements commerciaux et techniques :

  • Solutions gérées et prises en charge par le fournisseur : AWS a validé les intégrations IAM Identity Center des offres de certains partenaires et évalué leurs capacités par rapport à un ensemble commun d'exigences clients. Choisissez la solution qui correspond le mieux à votre scénario et suivez les instructions du fournisseur pour activer cette fonctionnalité avec IAM Identity Center.

  • Autogéré et autonome : cette option constitue un point de départ si vous êtes intéressé par un accès élevé temporaire AWS uniquement et que vous pouvez déployer, adapter et gérer vous-même cette fonctionnalité. Pour plus d'informations, consultez la section Gestion des accès élevés temporaires (TEAM).

Partenaires AWS de sécurité validés pour un accès élevé temporaire

AWS Les partenaires de sécurité utilisent différentes approches pour répondre à un ensemble commun d'exigences d'accès temporaire élevé. Nous vous recommandons d'examiner attentivement chaque solution partenaire afin de choisir celle qui correspond le mieux à vos besoins et préférences, notamment à votre activité, à l'architecture de votre environnement cloud et à votre budget.

Note

Pour la reprise après sinistre, nous vous recommandons de configurer un accès d'urgence au AWS Management Console avant qu'une interruption ne survienne.

AWS Identity a validé les fonctionnalités et l'intégration avec IAM Identity Center pour les just-in-time offres suivantes des partenaires de AWS sécurité :

  • CyberArk Secure Cloud Access— Cette offre fournit notamment un accès élevé à la demande à des environnements multicloud AWS et à des environnements multicloud. CyberArk Identity Security Platform Les approbations sont traitées par le biais de l'intégration à l'ITSM ou à l' ChatOps outillage. Toutes les sessions peuvent être enregistrées à des fins d'audit et de conformité.

  • Tenable (previously Ermetic)— La Tenable plate-forme inclut la fourniture d'un accès just-in-time privilégié pour les opérations administratives dans les environnements multicloud AWS et multicloud. Les journaux de session de tous les environnements cloud, y compris les journaux AWS CloudTrail d'accès, sont disponibles dans une interface unique à des fins d'analyse et d'audit. Cette fonctionnalité s'intègre aux outils d'entreprise et de développement tels que Slack et Microsoft Teams.

  • OktaDemandes d'accès : partie intégrante de la gouvernance des Okta identités, vous permet de configurer un flux de travail de demandes d' just-in-time accès en utilisant en Okta tant que fournisseur d'identité externe (IdP) IAM Identity Center et vos ensembles d'autorisations IAM Identity Center.

Cette liste sera mise à jour afin de AWS valider les capacités des solutions partenaires supplémentaires et l'intégration de ces solutions à IAM Identity Center.

Note

Si vous utilisez des politiques basées sur les ressources, consultez Amazon Elastic Kubernetes Service (Amazon EKS AWS Key Management Service ) ou (Référencement des ensembles d'autorisations dans les politiques de ressources, Amazon EKS et AWS KMS) avant AWS KMS de choisir votre solution. just-in-time

Capacités d'accès élevé temporaires évaluées en vue de la validation par les AWS partenaires

AWS Identity a confirmé que les fonctionnalités d'accès élevé temporaires proposées par CyberArk Secure Cloud AccessTenable, et les demandes Okta d'accès répondent aux exigences courantes suivantes des clients :

  • Les utilisateurs peuvent demander l'accès à un ensemble d'autorisations pour une période spécifiée par l'utilisateur, en spécifiant le AWS compte, l'ensemble d'autorisations, la période et le motif.

  • Les utilisateurs peuvent recevoir le statut d'approbation de leur demande.

  • Les utilisateurs ne peuvent pas appeler une session ayant une portée donnée, sauf s'il existe une demande approuvée ayant la même portée et s'ils appellent la session pendant la période approuvée.

  • Il existe un moyen de spécifier qui peut approuver les demandes.

  • Les approbateurs ne peuvent pas approuver leurs propres demandes.

  • Les approbateurs disposent d'une liste des demandes en attente, approuvées et rejetées et peuvent l'exporter pour les auditeurs.

  • Les approbateurs peuvent approuver et rejeter les demandes en attente.

  • Les approbateurs peuvent ajouter une note expliquant leur décision.

  • Les approbateurs peuvent révoquer une demande approuvée, empêchant ainsi l'utilisation future d'un accès élevé.

    Note

    Si un utilisateur est connecté avec un accès élevé lorsqu'une demande approuvée est révoquée, sa session reste active jusqu'à une heure après la révocation de l'approbation. Pour plus d'informations sur les sessions d'authentification, consultezAuthentification.

  • Les actions et approbations des utilisateurs sont disponibles pour audit.