角色委托和访问

（部分： 业务和管理）

1）为什么角色委托

目的是使每个参与者（员工，合作伙伴，服务）都拥有完全必要的权利，并且在完全可跟踪的情况下，可以根据需要花费足够的时间。这降低了泄漏和滥用的风险，加快了跟踪和审核的通过。

2）访问模型： 层和域

访问域：人员（控制台/面板），服务（机器令牌），数据（表/对象），基础设施（云/K8s），对手方（外部集成），区域/tenant。
信托级别：公共→内部→保护（PII/财政） →特别关键（钥匙或付款）。

操作区域： prod/staging/sandbox；"从下面"到"上面"的规则-仅通过批准的管道。"

3）授权模式

RBAC：角色绑定到任务（"内容编辑器","支付操作员"）。一个简单的开始，很容易检查。
ABAC：按主题/资源/上下文属性（区域，tenant，更改，设备，风险评分）划分的策略。
ReBAC（基于关系的）：权利来自链接（项目所有者，团队成员）。
混合体：基本矩阵的RBAC，上下文约束的ABAC，所有权的ReBAC。

4）最低限度必要的访问（Least Privilege）

开始-默认角色最少（只读,没有PII）。
晋升-仅通过具有理由，期限和所有者的申请。
时间限制（TTL）：权利"自动融化"；延期是有意识的。
上下文的gward rails：区域/tenant，开放时间，设备，地质。

5）职责分工（SoD）

• "开始限制"≠"批准限制"。
• "准备付款"≠"签署付款"。
• "编写代码"≠"将发布到prod。"
• "Admin DB" ≠"在分析中读取PII"。
• 在策略和流程本身中实现SoD（双轨,M-of-N）。

6） JML进程（Joiner/Mover/Leaver）

Joiner：自动分配基本职位/团队/地区角色,24小时可用性清单。
Mover：更改命令/项目时重新定义角色；自动删除"旧"权利。
Leaver：召回会议，钥匙，代币；超越秘密，转移文物的财产。

7）临时特权： JIT/PAM

Just-In-Time （JIT）：使用MFA和tiket理由将申请权提高15-240分钟。
PAM（特权访问管理）："在外壳帐户下"的代理/登录、会议记录、团队日志。
突破玻璃：使用即时警报器、短TTL和强制后太平间进行紧急访问。

8）服务身份和密钥

服务帐户：每个服务和环境都有单独的帐户，没有共享的秘密。
Workload Identity：将令牌绑定到pod/vire/Feature；短暂的信用。
秘密：KMS/Vault，轮换，双晶体加密，禁止登录。
签名/付款密钥：threshold/MPC，硬件HSM，信任域间隔。

9） SSO/MFA/SCIM和帐户生命周期

SSO： IdP （SAML/OIDC）、单一登录、集中式密码/设备策略。
MFA：admins/financial/PII强制性；最好FIDO2。
SCIM：自动创建/删除/更改帐户和组。
Device Posture：按设备状态条件访问（磁盘加密、EDR、当前补丁）。

10）策略和验证

OPA/授权服务：代码形式的策略（Rego/JSON），通过PR进行评论，测试。
漂移控制：定期比较是"实际宣布的vs"。
飞行前检查："政策会允许这样的操作吗？"-在发布前测试桉例。

11）数据访问

分类：公众/内部/有限/PII/财务。
"最小"压力：聚合/掩码而不是"原始"数据；PII请求-仅通过批准的乔巴语。
Tokenization/DE-ID：替换标识符,审核查询。
图层：弹出→复制品→店面→单元；直接访问prod-DB-仅JIT/PAM。

12）云，K8s，网络

Cloud IAM：按帐户角色/项目；默认的"管理"禁令；对tag/资料夹的动作限制。
Kubernetes： RBAC关于neimespace、PSP/类似政策没有"特权"、图像列表、通过CSI的秘密、服务帐户。
网络：零信任（mTLS，identity-aware），跳主机访问-仅JIT，SSH会话记录。

13）外部合作伙伴和整合

孤立的tenants/keys，最小的scops OAuth2，短的TTL令牌。
Webhooks：标题（HMAC/EdDSA），"nonce+timestamp"，狭窄的接收窗口。
按计划轮换钥匙，在损害时召回，"健康"的终点状态。

14）审计、退役、报告

Immutability：WORM杂志，策略发行版签名，Merkle剪辑。
衰退：每季度检查关键角色，每月检查管理权。
检疫是正确的："未使用的60天"→自动取出。
事件包：上载角色矩阵、SoD触发、JIT应用程序、PAM会话记录。

15）度量标准和SLO

TTG （Time-to-Grant）：标准申请的访问中位数（目标≤ 4h）。
JIT访问在"特权"中的份额（目标≥ 80％）。
SoD-violations： 0在prod中,消除时间≤ 24小时。

Orfed权利： 具有冗余权利的用户的百分比（目标→ 0。0x%).

保密轮换：保密的平均年龄（敏感的目标≤ 30天）。
审核覆盖范围：100%特权操作与文物（记录,收据）。

16）Dashbords

Access Health：主动角色、正式权利、JIT vs永久性。
PAM&Sessions：特权会议次数、持续时间、MFA成功率。
SoD&Incidents：锁定统计、原因、MTTR。
Secrets&Keys：年龄、即将轮换、"红色"钥匙。
JML：onbording/offbording SLA，逾期申请。
审核事件：季度衰退状态，100％完整。

17）事件花花公子

令牌/密钥损害： 立即召回,全球使用搜索,依存轮换,复古审计N天.

SoD违规：操作块、临时禁用角色、后面架和更改策略。
未经授权的PII访问：隔离，DPO通知，泄漏清单，法律程序。
逃避错误：对实体/团队冻结JIT,分析申请/理由,调整TTL限制。

18）操作实践

四只眼睛注视着关键权利的发放/修改。
描述任务、风险和有效操作的角色目录。
具有匿名数据和其他角色的测试环境。
策略干运行：在应用之前模拟更改的效果。
按可用性划分的GameDays："IdP丢失"，"PAM故障"，"泄露秘密"。

19）实施支票

• 通过关键过程形成角色分类法和SoD矩阵。
• 为所有人启用SSO+MFA，为JML启用SCIM流。
• 部署PAM/JIT，设置带有警报和短TTL的断面玻璃。
• 输入策略即代码（OPA）、公关修订和自动测试。
• 单独的服务帐户和工作负载身份；禁止共享秘密。
• Vault/KMS，定期轮换秘密和密钥，禁止代码/逻辑中的秘密。
• 将环境和地区分开，制定跨区域访问规则。
• 运行dashbords和SLO，月度衰退报告。
• 执行权利图的SoD扫描并消除升级路径。
• 定期演习和带有动作项目的后面面部表情。

20) FAQ

RBAC还是ABAC？
RBAC是可读性的基本层，ABAC是上下文和动态。使用溷合动力车。

如果有JIT，需要PAM吗？
是的：PAM提供会话记录和托管的特权访问渠道。

如何减少权利的"泛滥"？
TTL扮演角色，自动删除未使用的角色，每月衰退和SoD-Alerta。

如何处理外部承包商?

分配的Tenants/组，有限的漏洞，短的TTL，强制性报告和衰退。

摘要：角色委托和访问不是"打勾集"，而是权利的生命周期：最低要求角色，SoD，JIT/PAM，代码策略，可观察性和常规衰退。这样的轮廓可为团队提供快速操作以及可预测的业务和审计安全性。