身份与访问
即时访问(JIT)
别称: JIT 访问, 即时权限
定义
一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。
即时访问(JIT)通过按需授予权限来消除常驻特权,通常依托工单、变更或应急(break-glass)流程的审批进行。用户或工作负载发起提权请求,系统强制要求理由、MFA、同伴审批等条件,在短暂、有限的时间窗内授予权限,到期后自动收回。JIT 与 PAM、RBAC 和零信任天然契合:由于在两次会话之间没有可窃取的有效凭据,长期闲置的管理员账户和凭据失窃带来的攻击面被大幅缩小。现代实现覆盖云上角色、数据库访问、SSH 跳板会话和 Active Directory 组成员资格。
示例
- Azure PIM 在 MFA 与审批通过后,将用户提权为全局管理员,有效期一小时。
- Teleport 工作流授予生产集群一段时间内的 kubectl 管理员权限。
相关术语
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
基于角色的访问控制(RBAC)
一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。
Zero Trust Network
Zero Trust Network — definition coming soon.
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
授权
在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。