# SEC03-BP06 基于生命周期管理访问权限
<a name="sec_permissions_lifecycle"></a>

 在企业内主体（用户、角色和群组）的整个生命周期中，监控和调整授予主体的权限。在用户更改角色时调整组成员资格，并在用户离开企业时移除访问权限。

 **期望结果：**您可以在企业内主体的整个生命周期中监控和调整权限，从而降低不必要权限​​的风险。在创建用户时授予合适的访问权限。随着用户职责的变化，您会修改访问权限，当用户不再活跃或已离开企业时，您会删除访问权限。您集中管理用户、角色和组的更改。您使用自动化方法将更改传播到 AWS 环境中。

 **常见反模式：**
+  预先向身份授予过多或宽泛的访问权限，这些权限超出了最初的需求。
+  随着身份的角色和职责随着时间推移而发生变化，您未审核和调整访问权限。
+  让无效或离职的身份保留有效的访问权限。这样会增加未经授权访问的风险。
+  没有利用自动化功能来管理身份的生命周期。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 在身份（例如用户、角色、组）的整个生命周期中，谨慎管理和调整授予身份的访问权限。这一生命周期包括初始入职阶段、角色和职责的持续变化以及最终的离职或终止。根据生命周期的阶段主动管理访问权限，维护正确的访问权限级别。遵守最低权限原则，减少授予过多或不必要访问权限的风险。

 您可以直接在 AWS 账户中管理 IAM 用户的生命周期，也可以通过从员工身份提供者到 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 的联合身份验证来进行管理。对于 IAM 用户，您可以在 AWS 账户中创建、修改和删除用户及其关联权限。对于联合用户，您可以使用 IAM Identity Center，通过 [System for Cross-domain Identity Management](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)（SCIM）协议，从组织的身份提供者同步用户和组信息，从而管理这些用户的生命周期。

 SCIM 是一种开放标准协议，用于跨不同系统自动预置和取消预置用户身份。通过使用 SCIM 将身份提供者与 IAM Identity Center 集成，您可以自动同步用户和组信息，这有助于验证访问权限的授予、修改或撤销，而这些操作是基于企业中权威身份来源中的更改而进行的。

 随着企业内员工角色和职责的变化，相应地调整员工的访问权限。您可以使用 IAM Identity Center 的权限集来定义不同的工作角色或职责，并将其关联到相应的 IAM 策略和权限。当员工的角色发生变化时，您可以更新向他们分配的权限集以反映他们的新职责。验证他们是否具有必要的访问权限，同时还遵守了最低权限原则。

### 实施步骤
<a name="implementation-steps"></a>

1.  定义并记录访问权限管理生命周期流程，包括授予初始访问权限、定期审查和离职的程序。

1.  实施 [IAM 角色、组和权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)，以便从整体上管理访问权限并实施允许的最高访问权限级别。

1.  使用 IAM Identity Center，与[联合身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)（例如 Microsoft Active Directory、Okta、Ping Identity）集成，作为用户和组信息的权威来源。

1.  使用 [SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) 协议，来将用户和组信息从身份提供者同步到 IAM Identity Center 的身份存储中。

1.  在 IAM Identity Center 中创建[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)，用于表示组织中的不同工作角色或职责。为每个权限集定义相应的 IAM 策略和权限。

1.  实施定期的访问权限审查，及时撤销访问权限，并持续改进访问权限管理生命周期流程。

1.  向员工提供访问权限管理最佳实践的培训，增强员工的意识。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC02-BP04 依赖集中式身份提供程序](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html) 

 **相关文档：**
+  [管理您的身份源 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) 
+  [在 IAM Identity Center 中管理身份](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [IAM Access Analyzer 策略生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 

 **相关视频：**
+  [AWS re:Inforce 2023 - Manage temporary elevated access with AWS IAM Identity Center](https://www.youtube.com/watch?v=a1Na2G7TTQ0) 
+  [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center](https://www.youtube.com/watch?v=TvQN4OdR_0Y&t=444s) 
+  [AWS re:Invent 2022 - Harness power of IAM policies & rein in permissions w/Access Analyzer](https://www.youtube.com/watch?v=x-Kh8hKVX74&list=PL2yQDdvlhXf8bvQJuSP1DQ8vu75jdttlM&index=11)