トラブルシューティングなどの一時的で不定期な作業のために、永続的なアクセス権を付与しないでください。タスクが一時的な昇格アクセスを必要とする場合、従業員はその一時的なアクセスを要求できるようにすべきです。理想的には承認ワークフローを通過し、一時的な権限は別の従業員によって監査・管理されるべきです。
この推奨事項を実装する一つのアプローチは、AWS が公開した Temporary Elevated Access Management (TEAM) ソリューションを使用することです。これにより、一時的なアクセスを許可し、CloudTrail で昇格セッションのアクティビティを監視し、必要に応じてセッションを取り消すことができます。
アクセスが取り消されるか時間が経過すると、セッションは終了し、それ以降のすべてのアクションは拒否されます。
Privileged Access Management (PAM) ソリューションは、必要に応じて要求できる一時的なアクセスのための認証情報を保存します。
CyberArk、Okta、Ermetic は、一時的な認証情報を使用した一時的なアクセスのために、IAM Identity Center との統合を提供しています。
他のサードパーティの PAM ソリューションを使用する場合は、それらがどのように統合されているか、一時的な認証情報を付与しているか、アクセスキーなどの永続的な認証情報を使用していないか、実際の認証情報をユーザーと共有していないかを分析することをお勧めします。
PAM ソリューションを使用している場合: