基于时间的访问控制

在某些情况下,您可能希望在特定时间段内向特定用户或组提供访问权限,例如在审计期间向安全审计员提供访问权限,或在项目期间向顾问提供访问权限。在这种情况下,可以使用包含条件的内联策略的权限集来提供基于时间的访问控制。在本模块中,让我们以安全审计员使用 AWS 账户的临时访问为例。要使用基于时间的访问控制实现这一要求,需要执行以下步骤:

  • 为安全审计员创建具有必要访问权限的权限集,作为具有基于时间的访问控制条件的内联策略

  • 为安全审计员创建组

  • 为安全审计员组分配用户

  • 使用新创建的权限集为安全审计员组分配 AWS 账户访问权限

其中权限策略的condition的部分如下:

            "Condition": {
                "DateGreaterThan": {
                    "aws:CurrentTime": "2023-09-26T00:00:00Z"
                },
                "DateLessThan": {
                    "aws:CurrentTime": "2023-09-27T23:59:59Z"
                }
            }

参考资料

https://catalog.workshops.aws/iam-identity-center/en-US/workshop/4-extracredits/4-tbac

最后更新于