implementing-just-in-time-access-provisioning

实施即时访问(JIT)配置以消除常设权限,仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成,以及与零信任原则的对齐。

9 stars

Best use case

implementing-just-in-time-access-provisioning is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

实施即时访问(JIT)配置以消除常设权限,仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成,以及与零信任原则的对齐。

Teams using implementing-just-in-time-access-provisioning should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-just-in-time-access-provisioning/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-just-in-time-access-provisioning/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-just-in-time-access-provisioning/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-just-in-time-access-provisioning Compares

Feature / Agentimplementing-just-in-time-access-provisioningStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

实施即时访问(JIT)配置以消除常设权限,仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成,以及与零信任原则的对齐。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施即时访问配置

## 概述
实施即时访问(JIT)配置以消除常设权限,仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成,以及与零信任原则的对齐。

## 目标
- 设计 JIT 访问请求和审批工作流
- 实施带自动过期的时限访问授权
- 配置基于风险的审批路由(低风险自动批准,高风险多级审批)
- 将 JIT 与 PAM 集成以实现特权访问提升
- 监控和审计所有 JIT 访问授权和使用情况
- 通过消除常设权限减少攻击面

## 核心概念

### JIT 访问模型
1. **中介与移除**:通过审批授予访问权限,在时间窗口后自动移除
2. **按需提升**:用户拥有基础访问权限,按请求提升到特权级别
3. **账户创建/删除**:创建临时账户,使用后销毁
4. **组成员资格切换**:临时添加到特权组,自动移除

### 零常设权限(ZSP)原则
- 没有用户拥有永久特权访问
- 所有特权访问需要带业务理由的明确请求
- 访问在定义的时间窗口后自动过期
- 所有访问事件均被记录且可审计

## 实施步骤

### 步骤 1:识别合格的访问类型
- 特权管理员访问(域管理员、root、DBA)
- 生产环境访问
- 敏感数据访问(PII、财务、医疗)
- 紧急/破釜沉舟访问
- 第三方供应商访问

### 步骤 2:设计审批工作流
- 带理由要求的自助服务请求门户
- 预授权低风险访问自动批准(< 1 小时)
- 中等风险单一审批者(经理或资源所有者)
- 高风险双重审批(经理 + 安全团队)
- 带事后审查的紧急绕过

### 步骤 3:实施时限访问
- 按资源类型配置最大访问持续时间
- 实施带扩展请求能力的倒计时计时器
- 无论会话状态如何,到期时自动撤销
- 宽限期通知(到期前 15 分钟)
- 访问到期时自动终止会话

### 步骤 4:集成架构
- 连接到 IAM/IGA 平台进行配置/取消配置
- 与 PAM 集成以进行特权凭据检出
- 连接到 ITSM 进行工单关联
- 将事件转发到 SIEM 进行监控
- API 集成用于程序化访问请求

### 步骤 5:监控和合规
- 记录所有 JIT 请求、审批、授权和撤销
- 在访问超出批准范围时告警
- 跟踪未使用的访问(请求但从未连接)
- 测量平均访问时间(从请求到授权)
- 报告访问模式以进行基线优化

## 安全控制
| 控制项 | NIST 800-53 | 描述 |
|---------|-------------|------|
| 临时访问 | AC-2(2) | 自动化临时账户管理 |
| 最小权限 | AC-6 | 时限最小访问 |
| 访问执行 | AC-3 | 自动化访问授权/撤销 |
| 审计 | AU-3 | 完整的 JIT 访问审计跟踪 |
| 风险评估 | RA-3 | 基于风险的审批路由 |

## 常见陷阱
- 时间窗口设置过长,抵消了 JIT 的好处
- 未在到期时实施自动撤销
- 复杂的审批工作流导致合法需求的访问延迟
- 未为关键事件提供紧急绕过
- 未审计已批准但未使用的 JIT 访问

## 验证清单
- [ ] JIT 请求工作流端到端功能正常
- [ ] 访问在到期时自动撤销
- [ ] 所有风险级别的审批路由正确
- [ ] 紧急访问绕过可用并带事后审查
- [ ] 所有 JIT 事件已记录到 SIEM
- [ ] 常设权限减少了可量化的百分比
- [ ] 平均访问时间满足业务 SLA

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-timeline-reconstruction-with-plaso

9
from killvxk/cybersecurity-skills-zh

使用 Plaso(log2timeline)构建综合取证超级时间线,将文件系统、日志和制品中的事件关联整合为统一的时间顺序视图。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-initial-access-with-evilginx3

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

performing-credential-access-with-lazagne

9
from killvxk/cybersecurity-skills-zh

在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。

performing-access-review-and-certification

9
from killvxk/cybersecurity-skills-zh

开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。

performing-access-recertification-with-saviynt

9
from killvxk/cybersecurity-skills-zh

在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构