一時的な昇格アクセス - AWS IAM Identity Center
一時的な昇格アクセスについて検証済みの AWS セキュリティパートナーAWS パートナー検証のために評価される一時的な昇格されたアクセス機能

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

一時的な昇格アクセス

へのすべてのアクセス AWS アカウント には、ある程度の権限が必要です。本番環境など、価値の高いリソースの設定を変更するなどの機密性の高いオペレーションには、範囲と潜在的な影響のために特別な処理が必要です。一時的な昇格アクセス ( just-in-time アクセスとも呼ばれます) は、指定された時間内に特定のタスクを実行するアクセス許可の使用をリクエスト、承認、追跡する方法です。一時的な昇格アクセスは、権限セットや多要素認証など、他の形式のアクセス制御を補完します。

AWS IAM Identity Center では、さまざまなビジネス環境や技術環境での一時的な昇格されたアクセス管理に、次のオプションが用意されています。

  • ベンダー管理のソリューションとサポートされているソリューション – AWS は、厳選されたパートナーサービスの IAM Identity Center 統合を検証し、共通の顧客要件 のセットに照らしてそれらの機能を評価しました。シナリオに最も合ったソリューションを選択し、プロバイダーのガイダンスに従って IAM Identity Center の機能を有効にしてください。

  • セルフマネージド型およびセルフサポート型 – このオプションは、 AWS のみへの一時的な昇格アクセスに関心があり、 機能を自分でデプロイ、調整、維持できる場合の出発点となります。詳細については、「一時的な昇格アクセス管理 (TEAM)」を参照してください。

一時的な昇格アクセスについて検証済みの AWS セキュリティパートナー

AWS セキュリティパートナーは、さまざまなアプローチを使用して、一時的な昇格されたアクセス要件の一般的なセットに対処します。ビジネス、クラウド環境のアーキテクチャ、予算など、ニーズや好みに最適なソリューションを選択できるように、各パートナーソリューションを慎重に確認することをお勧めします。

注記

ディザスタリカバリでは、中断が発生する前に への緊急アクセスを設定する AWS Management Consoleことをお勧めします。

AWS Identity は、 AWS セキュリティパートナーによる以下の just-in-time サービスについて、機能と IAM Identity Center との統合を検証しました。

  • CyberArk Secure Cloud Access – の一部であるこのサービスはCyberArk Identity Security Platform、 AWS およびマルチクラウド環境へのオンデマンドの昇格アクセスをプロビジョニングします。承認は、ITSM または ChatOps ツールとの統合を通じて対処されます。すべてのセッションを記録して、監査とコンプライアンスを確保できます。

  • Tenable (previously Ermetic) – Tenableプラットフォームには、 AWS およびマルチクラウド環境での管理オペレーションのための特権アクセスの just-in-timeプロビジョニングが含まれます。 AWS CloudTrail アクセスログを含むすべてのクラウド環境のセッションログを単一のインターフェースで分析と監査に使用できます。この機能は、Slack や Microsoft Teams などのエンタープライズおよびデベロッパーツールと統合されます。

  • Okta アクセスリクエスト – Okta Identity Governance の一部で、IAM Identity Center 外部 ID プロバイダー (IdP) と IAM Identity Center アクセス許可セットとして を使用して just-in-time アクセスリクエストワークフローを設定できますOkta

このリストは、 が追加のパートナーソリューションの機能 AWS を検証し、これらのソリューションを IAM Identity Center と統合するために更新されます。

注記

リソースベースのポリシー、Amazon Elastic Kubernetes Service (Amazon EKS)、または AWS Key Management Service (AWS KMS) を使用している場合は、 just-in-time ソリューションを選択するリソースポリシー、Amazon EKS、および のアクセス許可セットの参照 AWS KMS前に「」を参照してください。

AWS パートナー検証のために評価される一時的な昇格されたアクセス機能

AWS ID は、、CyberArk Secure Cloud Access、および アクセスリクエストによって提供される一時的な昇格されたアクセス機能がTenable、以下の一般的な顧客要件に対応していることを検証しました。 Okta

  • ユーザーは、 AWS アカウント、アクセス許可セット、期間、理由を指定して、ユーザーが指定した期間、アクセス許可セットへのアクセスをリクエストできます。

  • ユーザーはリクエストの承認ステータスを受け取ることができます。

  • 同じスコープの承認済みリクエストがあり、承認済み期間中にセッションを呼び出す場合を除き、ユーザーは特定のスコープでセッションを呼び出すことはできません。

  • リクエストを承認できるユーザーを指定する方法があります。

  • 承認者は自分のリクエストを承認できません。

  • 承認者には、保留中、承認済み、拒否済みのリクエストのリストがあり、監査人向けにエクスポートできます。

  • 承認者は保留中のリクエストを承認および拒否できます。

  • 承認者は、決定を説明するメモを追加できます。

  • 承認者は承認されたリクエストを取り消すことができるため、昇格されたアクセスを今後使用できなくなります。

    注記

    承認されたリクエストが取り消されたときに、昇格されたアクセスでユーザーがサインインした場合、そのセッションは、承認が取り消されてから最大 1 時間はアクティブのままになります。認証セッションの情報については、「認証」を参照してください。

  • ユーザーアクションと承認は監査可能です。