# SEC03-BP03 建立緊急存取程序
<a name="sec_permissions_emergency_process"></a>

 在極少數的狀況下，自動化程序或管道發生問題時，允許緊急存取工作負載的程序。這可協助您倚賴最低權限的存取權，但確保使用者可在需要時取得適當的存取層級。例如，建立一個程序，讓管理員驗證和核准使用者的請求，例如，用於存取的緊急 AWS 跨帳戶角色，或管理員需遵循以驗證和核准緊急請求的特定程序。 

 **常見的反模式：** 
+ 未有可用的緊急程序，而無法從您現有身分組態的中斷中復原。
+ 授予長期提升的許可，以供疑難排解或復原之用。

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>

 緊急存取的建立可能有數種形式，您應做好相關的準備。第一個就是主要身分提供者的失敗。在此情況下，您應倚賴具有必要復原許可的第二種存取方法。此方法可能是備份身分提供者或 IAM 使用者。此第二個方法應 [受到嚴格的控制、監控，並在](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 使用時發出通知。緊急存取身分應來自專門用於此用途的帳戶，並僅具備相關許可，以擔任專為復原而設計的角色。

 您也應為需要臨時提升管理存取權的緊急存取情況做好準備。常見的情境是將突變的許可限制在用於部署變更的自動化程序中。在此程序發生問題時，使用者可能需要請求提升許可來還原功能。在此情況下，建立以下流程，即使用者可以請求提升存取權，而管理員可以進行驗證和核准。我們會在以下位置提供實作計劃，此計劃詳細說明預先佈建存取權和為*緊急情況、*角色做準備的最佳實務指引 [SEC10-BP05 預先佈建存取權](sec_incident_response_pre_provision_access.md)。

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [在 AWS 上監控和通知](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [管理臨時提升的存取權](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **相關影片：** 
+  [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU)