1Password Business用着用着就乱套:财务能看到技术库、实习生能改管理员密码、离职员工的Vault还挂在那、前任管理员走了没人能接管……权限混乱几乎是每个用过1Password团队版的公司都会踩的大坑。今天我们就把1Password团队权限为什么容易乱、以及权限结构到底该怎么从头到尾设得清清楚楚、不翻车,一次性讲透。
一、1Password团队权限为什么混乱
权限乱的根源基本就这几条,几乎每家中招的公司都占了至少三条:
1、默认全员都在“默认”群组,权限一把抓
新员工加入直接扔进【Everyone】群组,这个群组默认能看到所有共享Vault,结果一个市场实习生都能打开技术SSH密钥;
2、共享Vault和群组混用,边界不清
很多人搞不清“把人加进Vault”和“把群组加进Vault”的区别,随手把个人拉进Vault,离职后忘了踢,权限永远漏;
3、恢复权限(Recovery)随便给,接管权失控
初期为了图省事把恢复权限给了3-5个人,结果人一离职、新管理员不知道谁有恢复权,账号彻底卡死;
4、共享Vault层层嵌套,权限继承看不懂
一个Vault里套另一个Vault,群组A有确认访问Vault B,Vault B又嵌套Vault C,最后没人说得清谁到底能看什么;
5、没开“暂停账号”功能,离职员工权限常年残留
很多人只在【People】里点【Remove】,其实只是把人移到【Deactivated】,他原来的Vault权限还在,随时能被恢复。
二、1Password权限结构应怎样设定
想彻底不乱,只认这一套最简最稳的结构,照着设一次,后面只增不改:
1、群组按部门+角色建,绝不用默认Everyone
【管理后台】→【Groups】→新建:
【技术部】、【财务部】、【市场部】、【人事行政】、【高管】、【外部顾问(只读)】
新员工加入只加对应部门群组,永不碰Everyone。
2、Vault按业务线建,一条线一个Vault
【Vaults】→新建:
【公司通用】(Wi-Fi、域名、社保账号)
【技术Vault】(SSH、AWS、代码库)
【财务Vault】(银行、税务、发票)
【市场Vault】(广告账号、素材库)
【人事Vault】(劳动合同、薪资表)
每个Vault只加对应部门群组,权限边界一目了然。
3、权限只用“确认访问”+“授予权限”两级
确认访问(Confirm Access):给部门负责人,能看到+能管人
授予权限(Grant Access):给普通成员,只能看和用,不能管人
绝不用“仅查看”除非外部顾问。
4、恢复权限(Recovery)只给2人,且永不给离职风险高的
【管理后台】→【Security】→【Recovery Permissions】
只给现任CTO/CEO+人事总监,离职立刻换人。
5、离职流程标准化:暂停→7天后彻底删除
【People】→找到离职员工→【Suspend】(暂停账号,所有权限立刻失效)
7天后→【Delete permanently】彻底删除
同时检查他是否在任何Vault里有个人权限,一并移除。
三、1Password权限长效不乱技巧
设好只是开始,后续还得用这几招锁死:
1、每季度审计一次群组和Vault成员
【Reports】→【Vault Access Report】导出CSV,检查是否有“异常人员”(实习生在财务Vault、离职员工还在群组);
2、开启“需要确认访问”功能
【Vault设置】→【Require confirmation for new members】
任何人被加进Vault都要管理员二次确认,杜绝误操作;
3、重要Vault开启“移动限制”
【Vault设置】→【Restrict item movement】
防止有人把高敏感条目拖到个人Vault泄露;
4、外部顾问统一走“临时访问链接”
绝不给外部会计、律师开账号,直接发【Share Link】带24小时过期+禁止导出;
5、管理后台只留2个Owner
【People】→把初期随便给的Owner全部降级,只留现任IT负责人+最高管理者,权限收紧到不能再紧。
总结
1Password团队权限为什么混乱,1Password权限结构应怎样设定,说白了就是默认设置太松+没人管边界。只要坚决按“部门群组+业务Vault+两级权限+恢复权只给2人+离职必暂停”这套结构搭一次,再配上季度审计、确认访问、移动限制、临时链接这些铁律,权限就能从“一团麻”变成“一清二楚”,再也不会出现“实习生看到工资条”“离职员工还能登银行”这种吓死人的事故。
