即时访问(JIT)

Q: 即时访问(JIT) 是什么?

一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 即时访问(JIT)?

针对 即时访问(JIT) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

即时访问(JIT) 是什么?

即时访问(JIT)一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。

即时访问(JIT)通过按需授予权限来消除常驻特权,通常依托工单、变更或应急(break-glass)流程的审批进行。用户或工作负载发起提权请求,系统强制要求理由、MFA、同伴审批等条件,在短暂、有限的时间窗内授予权限,到期后自动收回。JIT 与 PAM、RBAC 和零信任天然契合:由于在两次会话之间没有可窃取的有效凭据,长期闲置的管理员账户和凭据失窃带来的攻击面被大幅缩小。现代实现覆盖云上角色、数据库访问、SSH 跳板会话和 Active Directory 组成员资格。

● 示例

01
Azure PIM 在 MFA 与审批通过后,将用户提权为全局管理员,有效期一小时。
02
Teleport 工作流授予生产集群一段时间内的 kubectl 管理员权限。

● 常见问题

即时访问(JIT) 是什么?

一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。它属于网络安全的身份与访问分类。

即时访问(JIT) 是什么意思?

一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。

如何防御即时访问(JIT)?

针对即时访问(JIT) 的防御通常结合技术控制与运营实践,详见上方完整定义。

即时访问(JIT) 还有哪些其他名称?

常见的别称包括: JIT 访问, 即时权限。

● 相关术语

● 另见

凭据保险库