Policies & Regelwerk
Genehmigungsregeln, Segregation of Duties und Lifecycle-Policies
PROD Vier-Augen-Prinzip
approvalhard_blockAlle PROD-Anträge benötigen zwei unabhängige Genehmigungen: Manager + Ressourcen-Owner.
request.env == "PROD" -> require(approvals >= 2 AND distinct_roles)Externe Laufzeit maximal 12 Monate
ttlhard_blockExterne Identitäten dürfen nicht länger als 365 Tage aktive Zugriffe haben. Danach Rezertifizierung erforderlich.
principal.type == "external" AND validUntil - validFrom > 365dSoD: Deploy + Approve
sodhard_blockKein Benutzer darf gleichzeitig Deploy- und Approval-Rechte in derselben PROD-Umgebung besitzen.
NOT (principal.hasRole("*_DEPLOY") AND principal.hasRole("*_APPROVER") AND sameEnv)SoD: Admin + Audit
sodhard_blockPlattform-Admins dürfen keine Audit-Leserolle gleichzeitig besitzen.
NOT (principal.hasRole("HERMOS_PLATFORM_ADMIN") AND principal.hasRole("HERMOS_SECURITY_AUDITOR"))Externe in PROD nur mit Sponsor+Security
externalshard_blockExterne Benutzer in PROD-Umgebungen benötigen Sponsor-Freigabe und Security-Mitfreigabe.
principal.type == "external" AND target.env == "PROD" -> require("Sponsor") AND require("Security")Kritische Rechte TTL 14 Tage
ttlsoft_blockKritische Rechte sollen nicht länger als 14 Tage am Stück vergeben werden. Verlängerung erfordert neuen Antrag.
grant.riskClass == "critical" AND duration > 14dJML Leaver Deprovision
lifecyclehard_blockBei Mitarbeiteraustritt (HR Status offboarded) werden alle aktiven Grants innerhalb von 4 Stunden entzogen.
user.lifecycleState == "offboarded" -> revokeAllGrants(within=4h)Jira Manager + Sponsor
approvalhard_blockJira-Projektzugriffe benötigen Projekt-Lead und bei Externen zusätzlich Sponsor-Freigabe.
request.system == "jira" -> require("ProjectLead")