D5-08 7–9 分钟 重要程度:高
身份生命周期、配置、账户审核与撤销
身份生命周期题常问 joiner/mover/leaver、账户配置、权限蠕变、访问审查和离职撤销。离职时要尽快停用访问。
一、必须记住
- Provisioning 是创建账号和授予初始访问。
- Access review 要定期确认账号和权限仍符合策略。
- Privilege creep 是用户随着岗位变化累积过多权限。
- Deprovisioning 是撤销账号、令牌、证书、远程访问和物理访问。
- 员工离职或请假时,应尽快禁用或调整账户。
- Mover 场景要移除旧角色权限,再授予新角色需要的权限。
- 长期未使用、孤儿账号和共享账号都应被清理。
二、核心概念
Joiner / Mover / Leaver
Joiner 创建身份并按角色授予初始权限;Mover 处理岗位变更,避免旧权限残留;Leaver 撤销逻辑、远程、物理和第三方访问。
账户审核
定期账户审核确认账号所有者、业务需求、角色、特权和最近使用状态。审核可发现权限蠕变、孤儿账号、过期账号和不合规授权。
撤销
撤销不只是删除 AD 账号,还包括 VPN、云服务、API token、证书、SSH key、门禁卡、移动设备和共享秘密。
三、CISSP 判断规则
- 问新员工开户,选 Provisioning。
- 问岗位变更后权限累积,选 Privilege creep。
- 问离职,优先 Deprovisioning / disable account。
- 问定期确认权限合理性,选 Access review。
四、常见陷阱
- 只新增新岗位权限而不移除旧权限,会造成权限蠕变。
- 删除账号可能破坏审计线索;很多场景先禁用再保留记录更合适。
- 离职撤销要覆盖物理和第三方系统,不只内部目录。
五、英文关键字
Provisioning (配置 / 开通) 定义:创建账号并授予初始访问。 Access review (访问审查) 定义:定期确认账号和权限仍符合业务需求。 Privilege creep (权限蠕变) 定义:岗位变化后累积过多权限。 Deprovisioning (撤销配置 / 账户回收) 定义:撤销账号、凭据、令牌、证书和访问。 Joiner mover leaver (入职 / 调岗 / 离职流程) 定义:身份生命周期管理流程。 Orphaned account (孤儿账号) 定义:没有有效所有者或对应人员的账号。 Dormant account (休眠账号) 定义:长期未使用但仍存在的账号。 Disable account (停用账号) 定义:阻止账号继续访问,同时保留审计线索。
小测验
1. 员工换岗后持续保留旧岗位权限,称为?
权限蠕变是岗位变化后权限累积过多。
2. 员工离职时,最优先的 IAM 动作通常是?
离职应尽快撤销逻辑、远程、物理和第三方访问。
3. 定期确认账号和权限仍符合业务需求,称为?
账户和访问审查用于发现权限蠕变、孤儿账号和不合规授权。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成