D5-08 7–9 分钟 重要程度:高

身份生命周期、配置、账户审核与撤销

身份生命周期题常问 joiner/mover/leaver、账户配置、权限蠕变、访问审查和离职撤销。离职时要尽快停用访问。

一、必须记住

  • Provisioning 是创建账号和授予初始访问。
  • Access review 要定期确认账号和权限仍符合策略。
  • Privilege creep 是用户随着岗位变化累积过多权限。
  • Deprovisioning 是撤销账号、令牌、证书、远程访问和物理访问。
  • 员工离职或请假时,应尽快禁用或调整账户。
  • Mover 场景要移除旧角色权限,再授予新角色需要的权限。
  • 长期未使用、孤儿账号和共享账号都应被清理。

二、核心概念

Joiner / Mover / Leaver

Joiner 创建身份并按角色授予初始权限;Mover 处理岗位变更,避免旧权限残留;Leaver 撤销逻辑、远程、物理和第三方访问。

账户审核

定期账户审核确认账号所有者、业务需求、角色、特权和最近使用状态。审核可发现权限蠕变、孤儿账号、过期账号和不合规授权。

撤销

撤销不只是删除 AD 账号,还包括 VPN、云服务、API token、证书、SSH key、门禁卡、移动设备和共享秘密。

三、CISSP 判断规则

  • 问新员工开户,选 Provisioning。
  • 问岗位变更后权限累积,选 Privilege creep。
  • 问离职,优先 Deprovisioning / disable account。
  • 问定期确认权限合理性,选 Access review。

四、常见陷阱

  • 只新增新岗位权限而不移除旧权限,会造成权限蠕变。
  • 删除账号可能破坏审计线索;很多场景先禁用再保留记录更合适。
  • 离职撤销要覆盖物理和第三方系统,不只内部目录。

五、英文关键字

Provisioning (配置 / 开通) Access review (访问审查) Privilege creep (权限蠕变) Deprovisioning (撤销配置 / 账户回收) Joiner mover leaver (入职 / 调岗 / 离职流程) Orphaned account (孤儿账号) Dormant account (休眠账号) Disable account (停用账号)

小测验

1. 员工换岗后持续保留旧岗位权限,称为?

权限蠕变是岗位变化后权限累积过多。

2. 员工离职时,最优先的 IAM 动作通常是?

离职应尽快撤销逻辑、远程、物理和第三方访问。

3. 定期确认账号和权限仍符合业务需求,称为?

账户和访问审查用于发现权限蠕变、孤儿账号和不合规授权。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成