Mitra AWS Keamanan yang Divalidasi untuk akses sementara yang ditingkatkan Kemampuan akses sementara yang ditingkatkan dinilai untuk validasi AWS mitra

Akses sementara yang ditinggikan

Semua akses ke Anda Akun AWS melibatkan beberapa tingkat hak istimewa. Operasi sensitif, seperti mengubah konfigurasi untuk sumber daya bernilai tinggi, misalnya, lingkungan produksi, memerlukan perlakuan khusus karena ruang lingkup dan dampak potensial. Akses tinggi sementara (juga dikenal sebagai just-in-time akses) adalah cara untuk meminta, menyetujui, dan melacak penggunaan izin untuk melakukan tugas tertentu selama waktu tertentu. Akses tinggi sementara melengkapi bentuk kontrol akses lainnya, seperti set izin dan otentikasi multi-faktor.

AWS IAM Identity Center menyediakan opsi berikut untuk manajemen akses tinggi sementara di lingkungan bisnis dan teknis yang berbeda:

Solusi yang dikelola vendor dan didukung - AWS telah memvalidasi integrasi IAM Identity Center dari penawaran mitra terpilih dan menilai kemampuan mereka terhadap serangkaian persyaratan pelanggan yang umum. Pilih solusi yang paling sesuai dengan skenario Anda dan ikuti panduan penyedia untuk mengaktifkan kemampuan dengan IAM Identity Center.
Dikelola sendiri dan didukung sendiri — Opsi ini memberikan titik awal jika Anda tertarik pada akses sementara yang ditinggikan AWS saja dan Anda dapat menerapkan, menyesuaikan, dan mempertahankan kemampuan sendiri. Untuk informasi selengkapnya, lihat Manajemen akses tinggi sementara (TEAM).

Mitra AWS Keamanan yang Divalidasi untuk akses sementara yang ditingkatkan

AWS Mitra Keamanan menggunakan pendekatan yang berbeda untuk mengatasi serangkaian persyaratan akses sementara yang umum. Kami menyarankan Anda meninjau setiap solusi mitra dengan cermat, sehingga Anda dapat memilih salah satu yang paling sesuai dengan kebutuhan dan preferensi Anda, termasuk bisnis Anda, arsitektur lingkungan cloud Anda, dan anggaran Anda.

catatan

Untuk pemulihan bencana, kami sarankan Anda mengatur akses darurat ke AWS Management Console sebelum gangguan terjadi.

AWS Identity telah memvalidasi kemampuan dan integrasi dengan IAM Identity Center untuk just-in-time penawaran berikut oleh Mitra Keamanan: AWS

CyberArk Secure Cloud Access— Bagian dariCyberArk Identity Security Platform, penawaran ini menyediakan akses yang lebih tinggi sesuai permintaan ke AWS dan lingkungan multi-cloud. Persetujuan ditangani melalui integrasi dengan ITSM atau ChatOps perkakas. Semua sesi dapat direkam untuk audit dan kepatuhan.
Tenable (previously Ermetic)TenablePlatform ini mencakup penyediaan akses just-in-time istimewa untuk operasi administratif di AWS dan lingkungan multi-cloud. Log sesi dari semua lingkungan cloud, termasuk log AWS CloudTrail akses, tersedia dalam satu antarmuka untuk analisis dan audit. Kemampuan ini terintegrasi dengan alat perusahaan dan pengembang seperti Slack dan Microsoft Teams.
OktaPermintaan Akses — Bagian dari Tata Kelola Okta Identitas, memungkinkan Anda mengonfigurasi alur kerja permintaan just-in-time akses menggunakan Okta sebagai penyedia identitas eksternal (iDP) Pusat Identitas IAM dan set izin Pusat Identitas IAM Anda.

Daftar ini akan diperbarui sebagai AWS memvalidasi kemampuan solusi mitra tambahan dan integrasi solusi ini dengan IAM Identity Center.

catatan

Jika Anda menggunakan kebijakan berbasis sumber daya, Amazon Elastic Kubernetes Service (Amazon EKS) AWS Key Management Service ,AWS KMS atau (), lihat sebelum memilih solusi. Mereferensikan set izin dalam kebijakan sumber daya, Amazon EKS, dan AWS KMS just-in-time

Kemampuan akses sementara yang ditingkatkan dinilai untuk validasi AWS mitra

AWS Identitas telah memvalidasi bahwa kemampuan akses sementara yang ditawarkan oleh CyberArk Secure Cloud Access, Tenable, dan Permintaan Okta Akses memenuhi persyaratan umum pelanggan berikut:

Pengguna dapat meminta akses ke set izin untuk periode waktu yang ditentukan pengguna, menentukan AWS akun, set izin, periode waktu, dan alasan.
Pengguna dapat menerima status persetujuan untuk permintaan mereka.
Pengguna tidak dapat memanggil sesi dengan cakupan tertentu, kecuali ada permintaan yang disetujui dengan cakupan yang sama dan mereka memanggil sesi selama periode waktu yang disetujui.
Ada cara untuk menentukan siapa yang dapat menyetujui permintaan.
Pemberi persetujuan tidak dapat menyetujui permintaan mereka sendiri.
Pemberi persetujuan memiliki daftar permintaan yang tertunda, disetujui, dan ditolak dan dapat mengekspornya untuk auditor.
Penyetuju dapat menyetujui dan menolak permintaan yang tertunda.
Pemberi persetujuan dapat menambahkan catatan yang menjelaskan keputusan mereka.
Pemberi persetujuan dapat mencabut permintaan yang disetujui, mencegah penggunaan akses tinggi di masa mendatang.

catatan
Jika pengguna masuk dengan akses tinggi saat permintaan yang disetujui dicabut, sesi mereka tetap aktif hingga satu jam setelah persetujuan dicabut. Untuk informasi tentang sesi otentikasi, lihatAutentikasi.
Tindakan dan persetujuan pengguna tersedia untuk audit.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Administrator yang didelegasikan

Akses masuk tunggal ke Akun AWS