角色委托和訪問

（部分： 業務和管理）

1）為什麼角色委托

目的是使每個參與者（員工，合作夥伴，服務）都擁有完全必要的權利，並且在完全可跟蹤的情況下，可以根據需要花費足夠的時間。這降低了泄漏和濫用的風險，加快了跟蹤和審核的通過。

2）訪問模型： 層和域

訪問域：人員（控制臺/面板），服務（機器令牌），數據（表/對象），基礎設施（雲/K8s），對手方（外部集成），區域/tenant。
信托級別：公共→內部→保護（PII/財政） →特別關鍵（鑰匙或付款）。

操作區域： prod/staging/sandbox；"從下面"到"上面"的規則-僅通過批準的管道。"

3）授權模式

RBAC：角色綁定到任務（「內容編輯器」,「支付操作員」）。一個簡單的開始，很容易檢查。
ABAC：按主題/資源/上下文屬性（區域，tenant，更改，設備，風險評分）劃分的策略。
ReBAC（基於關系的）：權利來自鏈接（項目所有者，團隊成員）。
混合體：基本矩陣的RBAC，上下文約束的ABAC，所有權的ReBAC。

4）最低限度必要的訪問（Least Privilege）

開始-默認角色最少（只讀,沒有PII）。
晉升-僅通過具有理由，期限和所有者的申請。
時間限制（TTL）：權利「自動融化」；延期是有意識的。
上下文的gward rails：區域/tenant，開放時間，設備，地質。

5）職責分工（SoD）

• 「開始限制」≠「批準限制」。
• 「準備付款」≠「簽署付款」。
• 「編寫代碼」≠「將發布到prod。」
• 「Admin DB」 ≠「在分析中讀取PII」。
• 在策略和流程本身中實現SoD（雙軌,M-of-N）。

6） JML進程（Joiner/Mover/Leaver）

Joiner：自動分配基本職位/團隊/地區角色,24小時可用性清單。
Mover：更改命令/項目時重新定義角色；自動刪除「舊」權利。
Leaver：召回會議，鑰匙，代幣；超越秘密，轉移文物的財產。

7）臨時特權： JIT/PAM

Just-In-Time （JIT）：使用MFA和tiket理由將申請權提高15-240分鐘。
PAM（特權訪問管理）：「在外殼帳戶下」的代理/登錄、會議記錄、團隊日誌。
突破玻璃：使用即時警報器、短TTL和強制後太平間進行緊急訪問。

8）服務身份和密鑰

服務帳戶：每個服務和環境都有單獨的帳戶，沒有共享的秘密。
Workload Identity：將令牌綁定到pod/vire/Feature；短暫的信用。
秘密：KMS/Vault，輪換，雙晶體加密，禁止登錄。
簽名/付款密鑰：threshold/MPC，硬件HSM，信任域間隔。

9） SSO/MFA/SCIM和帳戶生命周期

SSO： IdP （SAML/OIDC）、單一登錄、集中式密碼/設備策略。
MFA：admins/financial/PII強制性；最好FIDO2。
SCIM：自動創建/刪除/更改帳戶和組。
Device Posture：按設備狀態條件訪問（磁盤加密、EDR、當前補丁）。

10）策略和驗證

OPA/授權服務：代碼形式的策略（Rego/JSON），通過PR進行評論，測試。
漂移控制：定期比較是「實際宣布的vs」。
飛行前檢查：「政策會允許這樣的操作嗎？」-在發布前測試案例。

11）數據訪問

分類：公眾/內部/有限/PII/財務。
「最小」壓力：聚合/掩碼而不是「原始」數據；PII請求-僅通過批準的喬巴語。
Tokenization/DE-ID：替換標識符,審核查詢。
圖層：彈出→復制品→店面→單元；直接訪問prod-DB-僅JIT/PAM。

12）雲，K8s，網絡

Cloud IAM：按帳戶角色/項目；默認的「管理」禁令；對tag/資料夾的動作限制。
Kubernetes： RBAC關於neimespace、PSP/類似政策沒有「特權」、圖像列表、通過CSI的秘密、服務帳戶。
網絡：零信任（mTLS，identity-aware），跳主機訪問-僅JIT，SSH會話記錄。

13）外部合作夥伴和整合

孤立的tenants/keys，最小的scops OAuth2，短的TTL令牌。
Webhooks：標題（HMAC/EdDSA），「nonce+timestamp」，狹窄的接收窗口。
按計劃輪換鑰匙，在損害時召回，「健康」的終點狀態。

14）審計、退役、報告

Immutability：WORM雜誌，策略發行版簽名，Merkle剪輯。
衰退：每季度檢查關鍵角色，每月檢查管理權。
檢疫是正確的：「未使用的60天」→自動取出。
事件包：上載角色矩陣、SoD觸發、JIT應用程序、PAM會話記錄。

15）度量標準和SLO

TTG （Time-to-Grant）：標準申請的訪問中位數（目標≤ 4h）。
JIT訪問在「特權」中的份額（目標≥ 80％）。
SoD-violations： 0在prod中,消除時間≤ 24小時。

Orfed權利： 具有冗余權利的用戶的百分比（目標→ 0。0x%).

保密輪換：保密的平均年齡（敏感的目標≤ 30天）。
審核覆蓋範圍：100%特權操作與文物（記錄,收據）。

16）Dashbords

Access Health：主動角色、正式權利、JIT vs永久性。
PAM&Sessions：特權會議次數、持續時間、MFA成功率。
SoD&Incidents：鎖定統計、原因、MTTR。
Secrets&Keys：年齡、即將輪換、「紅色」鑰匙。
JML：onbording/offbording SLA，逾期申請。
審核事件：季度衰退狀態，100％完整。

17）事件花花公子

令牌/密鑰損害： 立即召回,全球使用搜索,依存輪換,復古審計N天.

SoD違規：操作塊、臨時禁用角色、後面架和更改策略。
未經授權的PII訪問：隔離，DPO通知，泄漏清單，法律程序。
逃避錯誤：對實體/團隊凍結JIT,分析申請/理由,調整TTL限制。

18）操作實踐

四只眼睛註視著關鍵權利的發放/修改。
描述任務、風險和有效操作的角色目錄。
具有匿名數據和其他角色的測試環境。
策略幹運行：在應用之前模擬更改的效果。
按可用性劃分的GameDays：「IdP丟失」，「PAM故障」，「泄露秘密」。

19）實施支票

• 通過關鍵過程形成角色分類法和SoD矩陣。
• 為所有人啟用SSO+MFA，為JML啟用SCIM流。
• 部署PAM/JIT，設置帶有警報和短TTL的斷面玻璃。
• 輸入策略即代碼（OPA）、公關修訂和自動測試。
• 單獨的服務帳戶和工作負載身份；禁止共享秘密。
• Vault/KMS，定期輪換秘密和密鑰，禁止代碼/邏輯中的秘密。
• 將環境和地區分開，制定跨區域訪問規則。
• 運行dashbords和SLO，月度衰退報告。
• 執行權利圖的SoD掃描並消除升級路徑。
• 定期演習和帶有動作項目的後面面部表情。

20) FAQ

RBAC還是ABAC？
RBAC是可讀性的基本層，ABAC是上下文和動態。使用混合動力車。

如果有JIT，需要PAM嗎？
是的：PAM提供會話記錄和托管的特權訪問渠道。

如何減少權利的「泛濫」？
TTL扮演角色，自動刪除未使用的角色，每月衰退和SoD-Alerta。

如何處理外部承包商?

分配的Tenants/組，有限的漏洞，短的TTL，強制性報告和衰退。

摘要：角色委托和訪問不是「打勾集」，而是權利的生命周期：最低要求角色，SoD，JIT/PAM，代碼策略，可觀察性和常規衰退。這樣的輪廓可為團隊提供快速操作以及可預測的業務和審計安全性。