Accès juste-à-temps
L'accès juste-à-temps (JIT) octroie un accès temporaire et limité à un coffre-fort ou à une ressource, qui expire automatiquement. Le JIT est l'approche recommandée pour appliquer le principe du moindre privilège : les utilisateurs ne disposent pas d'un accès permanent aux ressources sensibles ; ils le demandent au moment où ils en ont besoin.
Pourquoi l'accès JIT est important
L'accès permanent (lorsqu'un utilisateur a toujours accès à une ressource) augmente le rayon d'impact d'un compte compromis. L'accès JIT limite l'exposition : si des identifiants sont compromis, l'attaquant ne dispose que de la fenêtre de temps de l'octroi.
L'accès JIT crée également une piste d'audit claire : chaque octroi est journalisé avec l'utilisateur demandeur, l'approbateur, la durée et la ressource.
Comment demander un accès JIT (opérateur)
- Accédez à Coffres-forts et recherchez le coffre-fort auquel vous avez besoin d'accéder.
- Si vous ne voyez pas le coffre-fort, il peut nécessiter une demande JIT. Cliquez sur Demander l'accès sur la carte du coffre-fort.
- Saisissez le motif de la demande et la durée dont vous avez besoin (par exemple, 2 heures).
- Soumettez la demande. Si une politique d'approbation est configurée, votre demande est transmise à l'approbateur désigné.
- Attendez l'approbation. Vous recevrez une notification lorsque l'accès sera accordé.
- Accédez au coffre-fort et utilisez l'identifiant ou lancez la session pendant la fenêtre d'octroi.
- Votre accès expire automatiquement à la fin de la durée de l'octroi.
État de réussite : vous pouvez accéder au coffre-fort et à ses ressources pendant la durée de l'octroi. Après expiration, votre accès est supprimé et le journal d'audit enregistre la fin de l'octroi.
Comment configurer des politiques JIT (admin)
- Accédez à Politiques > Nouvelle politique.
- Nommez la politique et ajoutez une description (par exemple, « Accès JIT -- BD de production »).
- Définissez l'Action sur Exiger une approbation.
- Sous Paramètres JIT, activez l'Expiration automatique et définissez la durée maximale de l'octroi.
- Affectez la politique au coffre-fort cible.
- Activez la politique.
État de réussite : les utilisateurs ne disposant pas d'une appartenance permanente au coffre-fort peuvent désormais demander un accès temporaire. Les demandes apparaissent dans la file d'attente Approbations pour les approbateurs désignés.
Durée maximale de l'octroi
Vous pouvez configurer la durée maximale de l'octroi par politique. Si un utilisateur demande une durée supérieure au maximum, la demande est automatiquement plafonnée au maximum configuré.
Maximums recommandés selon le cas d'usage :
| Cas d'usage | Maximum recommandé |
|---|---|
| Tâche d'exploitation courante | 4 heures |
| Réponse à incident | 8 heures |
| Fenêtre de maintenance | 12 heures |
| Revue d'audit (lecture seule) | 24 heures |
Piste d'audit pour les octrois JIT
Chaque événement d'accès JIT est enregistré dans le journal d'audit :
- Accès demandé -- qui a demandé, quel coffre-fort, durée demandée, motif
- Approuvé ou Refusé -- qui a approuvé/refusé et quand
- Accès accordé -- heure de début et heure d'expiration
- Accès expiré -- événement système confirmant la suppression de l'octroi
Consultez Journal d'audit pour savoir comment rechercher et exporter ces événements.