Skill

implementing-just-in-time-access-provisioning

Implements Just-In-Time (JIT) access provisioning to eliminate standing permissions, granting temporary time-bound access via approval workflows, auto-expiration, PAM/IGA integrations, and zero-trust alignment.

security

authentication

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

实施即时访问（JIT）配置以消除常设权限，仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成，以及与零信任原则的对齐。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

implementing-just-in-time-access-provisioning

Implements Just-In-Time (JIT) access provisioning for temporary, time-bound access to eliminate standing privileges. Covers architecture design, approval workflows, auto-expiration, and PAM/IGA integration.

asi

implementing-just-in-time-access-provisioning

5.9k

Designs and implements JIT access provisioning with approval workflows, time-bound grants, auto-expiration, and PAM integration for zero trust security.

7 files

cybersecurity-skills

implementing-zero-standing-privilege-with-cyberark

Deploys CyberArk Secure Cloud Access for zero-standing privileges in AWS, Azure, GCP via JIT access controlled by time, entitlements, and approvals. Useful for eliminating standing privileges in multi-cloud environments.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

实施即时访问配置

概述

目标

设计 JIT 访问请求和审批工作流
实施带自动过期的时限访问授权
配置基于风险的审批路由（低风险自动批准，高风险多级审批）
将 JIT 与 PAM 集成以实现特权访问提升
监控和审计所有 JIT 访问授权和使用情况
通过消除常设权限减少攻击面

核心概念

JIT 访问模型

中介与移除：通过审批授予访问权限，在时间窗口后自动移除
按需提升：用户拥有基础访问权限，按请求提升到特权级别
账户创建/删除：创建临时账户，使用后销毁
组成员资格切换：临时添加到特权组，自动移除

零常设权限（ZSP）原则

没有用户拥有永久特权访问
所有特权访问需要带业务理由的明确请求
访问在定义的时间窗口后自动过期
所有访问事件均被记录且可审计

实施步骤

步骤 1：识别合格的访问类型

特权管理员访问（域管理员、root、DBA）
生产环境访问
敏感数据访问（PII、财务、医疗）
紧急/破釜沉舟访问
第三方供应商访问

步骤 2：设计审批工作流

带理由要求的自助服务请求门户
预授权低风险访问自动批准（< 1 小时）
中等风险单一审批者（经理或资源所有者）
高风险双重审批（经理 + 安全团队）
带事后审查的紧急绕过

步骤 3：实施时限访问

按资源类型配置最大访问持续时间
实施带扩展请求能力的倒计时计时器
无论会话状态如何，到期时自动撤销
宽限期通知（到期前 15 分钟）
访问到期时自动终止会话

步骤 4：集成架构

连接到 IAM/IGA 平台进行配置/取消配置
与 PAM 集成以进行特权凭据检出
连接到 ITSM 进行工单关联
将事件转发到 SIEM 进行监控
API 集成用于程序化访问请求

步骤 5：监控和合规

记录所有 JIT 请求、审批、授权和撤销
在访问超出批准范围时告警
跟踪未使用的访问（请求但从未连接）
测量平均访问时间（从请求到授权）
报告访问模式以进行基线优化

安全控制

控制项	NIST 800-53	描述
临时访问	AC-2(2)	自动化临时账户管理
最小权限	AC-6	时限最小访问
访问执行	AC-3	自动化访问授权/撤销
审计	AU-3	完整的 JIT 访问审计跟踪
风险评估	RA-3	基于风险的审批路由

常见陷阱

时间窗口设置过长，抵消了 JIT 的好处
未在到期时实施自动撤销
复杂的审批工作流导致合法需求的访问延迟
未为关键事件提供紧急绕过
未审计已批准但未使用的 JIT 访问

验证清单

JIT 请求工作流端到端功能正常
访问在到期时自动撤销
所有风险级别的审批路由正确
紧急访问绕过可用并带事后审查
所有 JIT 事件已记录到 SIEM
常设权限减少了可量化的百分比
平均访问时间满足业务 SLA