本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC03-BP06 根據生命週期管理存取權
監控並調整授予您的主體 (使用者、角色和群組) 在組織內其整個生命週期的許可。隨著使用者變更角色調整群組成員資格,並在使用者離開組織時移除存取權。
預期成果您可在組織內監控並調整主體整個生命週期的許可,進而降低不必要權限帶來的風險。您可在建立使用者時授予適當的存取權。您可以隨著使用者的職責變更修改存取權,並且在使用者不再為作用中狀態或離開組織時移除存取權。您可以集中管理使用者、角色和群組的變更。您可以使用自動化將變更傳播到 AWS 環境。
常見的反模式:
-
您事先授予身分過多或過廣的存取權限,超過最初所需的範圍。
-
您未隨著身分的角色和職責經過一段時間發生變更,而審查並調整存取權限。
-
您未移除非作用中或已終止身分的作用中存取權限。此舉會增加未經授權存取的風險。
-
您未自動化身分生命週期管理。
未建立此最佳實務時的風險暴露等級:中
實作指引
在身分的整個生命週期中,仔細管理和調整您授予身分 (例如使用者、角色、群組) 的存取權限。此生命週期涵蓋初始入職階段、後續角色和職責變更,以及最終離職或終止。根據生命週期階段主動管理存取權,以維護適當的存取層級。遵守最低權限原則,以降低過度或不必要存取權限帶來的風險。
您可以直接在 內管理IAM使用者的生命週期 AWS 帳戶,或透過聯合,從人力資源身分提供者到 AWS IAM身分中心。對於IAM使用者,您可以在 中建立、修改和刪除使用者及其相關聯的許可 AWS 帳戶。對於聯合身分使用者,您可以使用 跨網域IAM身分管理 (SCIM) 通訊協定,從組織的身分提供者同步使用者和群組資訊,藉此使用身分中心來管理其生命週期。
SCIM 是開放標準通訊協定,用於跨不同系統自動佈建和取消佈建使用者身分。透過使用 將您的身分提供者與 IAM Identity Center 整合SCIM,您可以自動同步使用者和群組資訊,協助根據組織的權威身分來源的變更來驗證授予、修改或撤銷存取權限。
隨著組織內員工的角色和職責改變,調整他們的存取權限。您可以使用 IAM Identity Center 的許可集來定義不同的任務角色或責任,並將其與適當的IAM政策和許可建立關聯。當員工的角色變更時,您可以更新其指派的許可集,以反映他們的新職責。確認他們具有必要的存取權,同時遵守最低權限原則。
實作步驟
-
定義並記錄存取管理生命週期流程,包括授予初始存取權、定期審查和離職的程序。
-
實作IAM角色、群組和許可界限,共同管理存取並強制執行允許的存取層級上限。
-
使用 Identity IAM Center 與聯合身分提供者 (例如 Microsoft Active Directory、Okta、Ping Identity) 整合,做為使用者和群組資訊的權威來源。
-
使用 SCIM通訊協定,將身分提供者的使用者和群組資訊同步到 IAM Identity Center 的 Identity Store。
-
在 IAM Identity Center 中建立代表組織中不同任務角色或責任的許可集。為每個許可集定義適當的IAM政策和許可。
-
實作定期存取權審查、提示撤銷存取權,以及持續改進存取權管理生命週期流程。
-
為員工提供有關存取權管理最佳實務的培訓和認知。
資源
相關的最佳實務:
相關文件:
相關影片:
