Доступ «точно вовремя» (JIT)

Just-in-Time-доступ (JIT) устраняет постоянные привилегии, выдавая их по запросу — обычно через цепочку согласования, связанную с тикетом, change-request или break-glass-процедурой. Пользователь или рабочая нагрузка инициирует повышение, система требует обоснование, MFA, согласование коллегой и затем выдаёт права на короткое, чётко ограниченное окно, после чего отзывает их автоматически. JIT естественно сочетается с PAM, RBAC и zero-trust: резко уменьшается атакуемая поверхность от спящих админ-аккаунтов и кражи учётных данных, ведь между сессиями красть нечего. Современные реализации охватывают облачные роли, доступ к БД, SSH-сессии через бастион и членство в группах Active Directory.