PIM Neyi Kapsar
Ayrıcalıklı kimlik yönetimi, ayrıcalığın kimlik tarafına odaklanır: hangi kişilerin ve servis sorumlularının yönetimsel rollere uygun olduğu, bu rollerin hangi koşullarda etkinleştiği ve ne kadar süreceği. PIM’de kullanıcı, Domain Admins grubunda kalıcı olarak oturmak veya Global Administrator rolünü sürekli taşımak yerine yalnızca uygun (eligible) hale gelir — rol, gerekçe, MFA ve politika gerektiriyorsa onayla etkinleştirilene dek uykuda kalır.
Terim, Azure ve Microsoft 365 rol etkinleştirmelerini yöneten Microsoft Entra ID PIM özelliğiyle güçlü biçimde özdeşleşmiştir; ancak kavram üreticiden bağımsızdır: süreli rol ataması, etkinleştirme akışları ve kimlerin uygun kalmaya devam ettiğine dair dönemsel erişim gözden geçirmeleri.
PIM ile PAM Karşılaştırması
PIM ve PAM aynı riske — kalıcı yönetimsel güce — farklı açılardan saldırır. PIM, kimlikler üzerindeki rol atamalarını yönetir: kendi hesabınızın geçici olarak yönetici olup olmayacağına karar verir. PAM ise ayrıcalıklı hesapların ve oturumların kendisini yönetir: ortak kimlik bilgilerini kasalar, sunuculara, veritabanlarına ve ağ cihazlarına yapılan bağlantılara aracılık edip bunları kaydeder ve parolaları döndürür.
İkisi rakip değil tamamlayıcıdır. PIM, ayrıcalığın para birimi rol olan dizin ve bulut ekosisteminin içinde parlar; PAM ise PIM’in ulaşamadığı geniş alanı kapsar — Linux’taki root parolaları, yerleşik yönetici hesapları, cihazlar, eski sistemler ve üçüncü taraf erişimi — ve gerçekte ne yapıldığına dair oturum düzeyinde kanıt ekler. Olgun programlar ikisini de yetki yükseltme, onay ve gözden geçirme için tek bir politika altında yürütür.
Uygulamada PIM
Tipik bir geçişte kalıcı yönetici rol atamaları uygun (eligible) atamalara dönüştürülür; etkinleştirme koşulları belirlenir — MFA, gerekçe, en hassas roller için onay — ve etkinleştirme süresi saatlerle sınırlanır. Uygunluğun kendisi yeni bir kalıcı ayrıcalığa dönüşmesin diye erişim gözden geçirmeleri üç veya altı ayda bir yürütülür. Mesai dışı saatlerde veya olağandışı konumlardan yapılan etkinleştirmelere üretilen uyarılar izleme boşluğunu kapatır.
Kuruluşlar ardından aynı tam zamanında yaklaşımını dizin rollerinin ötesine, altyapı erişimine taşır. Monopam, PIM tarzı rol yönetişimini; kayıtlı sunucu oturumları ve kasalanmış kimlik bilgileri için JIT onay akışlarıyla tamamlar ve süreli yetki yükseltmeyi hem bulut rollerini hem de arkalarındaki sistemleri kapsayacak şekilde genişletir.