# SEC03-BP06 根據生命週期管理存取
<a name="sec_permissions_lifecycle"></a>

 監控並調整授予您的主體 (使用者、角色和群組) 在組織內其整個生命週期的許可。隨著使用者變更角色調整群組成員資格，並在使用者離開組織時移除存取權。

 **預期成果**您可在組織內監控並調整主體整個生命週期的許可，進而降低不必要權限帶來的風險。您可在建立使用者時授予適當的存取權。您可以隨著使用者的職責變更修改存取權，並且在使用者不再為作用中狀態或離開組織時移除存取權。您可以集中管理使用者、角色和群組的變更。您使用自動化的方式將變更傳播到您的 AWS 環境。

 **常見的反模式：**
+  事先授予身分過多或過廣的存取權限，超過最初所需的範圍。
+  當身分的角色和職責隨時間發生變更後，未能審查並調整存取權限。
+  未移除非作用中或已終止身分的作用中存取權限。此舉會增加未經授權存取的風險。
+  未利用自動化來管理身分的生命週期。

 **未建立此最佳實務時的風險暴露等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 在身分的整個生命週期中，仔細管理和調整您授予身分 (例如使用者、角色、群組) 的存取權限。此生命週期涵蓋初始入職階段、後續角色和職責變更，以及最終離職或終止。根據生命週期階段主動管理存取權，以維護適當的存取層級。遵守最低權限原則，以降低過度或不必要存取權限帶來的風險。

 您可以直接在 AWS 帳戶 內管理 IAM 使用者的生命週期，或透過從人力資源身分提供者至 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 的聯合來進行管理。針對 IAM 使用者，您可以在 AWS 帳戶 內建立、修改和刪除使用者及其關聯的許可。針對聯合身分使用者，您可以使用 IAM Identity Center 管理生命週期，方法是透過[跨網域身分管理系統](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) (SCIM) 協定，同步源自您組織身分提供者的使用者和群組資訊。

 SCIM 是開放標準協定，可在不同系統中自動佈建和解除佈建使用者身分。透過將身分提供者與使用 SCIM 的 IAM Identity Center 整合，您就可以自動同步使用者和群組資訊，協助驗證組織是否根據其授權身分來源的變更授予、修改或撤銷存取權限。

 隨著組織內員工的角色和職責改變，調整他們的存取權限。您可以使用 IAM Identity Center 的許可集來定義不同的工作角色或職責，並將其與適當的 IAM 政策和許可關聯。當員工的角色變更時，您可以更新其指派的許可集，以反映他們的新職責。確認他們具有必要的存取權，同時遵守最低權限原則。

### 實作步驟
<a name="implementation-steps"></a>

1.  定義並記錄存取管理生命週期流程，包括授予初始存取權、定期審查和離職的程序。

1.  實作 [IAM 角色、群組和許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)，以共同管理存取權，並強制執行受允許的最高存取層級。

1.  使用 IAM Identity Center 與[聯合身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) (例如 Microsoft Active Directory、Okta、Ping Identity) 整合，使其做為使用者和群組資訊的授權來源。

1.  使用 [SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) 協定可將來自身分提供者的使用者和群組資訊同步到 IAM Identity Center 的身分存放區中。

1.  在 IAM Identity Center 中建立[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)，以代表組織內不同的工作角色或職責。為每個許可集定義適當的 IAM 政策和許可。

1.  實作定期存取權審查、提示撤銷存取權，以及持續改進存取權管理生命週期流程。

1.  為員工提供有關存取權管理最佳實務的培訓和認知。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC02-BP04 仰賴集中式身分提供者](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html) 

 **相關文件：**
+  [管理您的身分來源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) 
+  [管理 IAM Identity Center 中的身分](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [IAM Access Analyzer 政策產生](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) 

 **相關影片：**
+  [AWS re:Inforce 2023 - 使用 AWS IAM Identity Center 管理暫時提升的存取權](https://www.youtube.com/watch?v=a1Na2G7TTQ0) 
+  [AWS re:Invent 2022 - 使用 IAM Identity Center 簡化現有的員工存取權](https://www.youtube.com/watch?v=TvQN4OdR_0Y&t=444s) 
+  [AWS re:Invent 2022 - 使用 Access Analyzer 掌握 IAM 政策之力並駕馭許可](https://www.youtube.com/watch?v=x-Kh8hKVX74&list=PL2yQDdvlhXf8bvQJuSP1DQ8vu75jdttlM&index=11)