SEC03-BP03 建立紧急访问流程
万一发生自动化流程或管道问题,此流程允许紧急访问您的工作负载。这将帮助您依赖最低权限访问,但确保用户可以在需要时获得相应的访问级别。例如,为管理员建立用来验证和批准其请求的流程,如用于提供访问权限的紧急 AWS 跨账户角色,或者管理员在验证和批准紧急请求时所遵循的特定流程。
常见反模式:
-
未建立紧急流程,无法从现有身份配置中断状态中恢复。
-
授予长期提升权限以进行问题排查或恢复。
未建立这种最佳实践的情况下暴露的风险等级: 中
实施指导
建立紧急访问会采用多种形式,您应为此做好准备。首先是主要身份提供者失败。在此情况下,您应依赖具有所需权限的另一种访问方法进行恢复。此方法可以是后备身份提供者或 IAM 用户。第二种方法应受到 严格的控制和监控,
有些紧急访问需要临时提升管理访问权限,您还应为此做好准备。一个常见的场景是,将更改权限限制为用于部署更改的自动化流程。如果此流程出现问题,用户可能需要申请提升的权限,才能还原功能。在此情况下,请建立一个流程,使用户能够申请提升的访问权限,并使管理员能够验证和批准请求。还应在流程中提供实施计划,详细说明有关预置访问权限和设置break-glass紧急角色的最佳实践指南 SEC10-BP05 预置访问权限。
资源
相关文档:
相关视频:
