在系統中「權限」是指高於標準使用者的存取權限，
普通使用者帳戶可能有權查看資料庫中的條目，
但特權管理員則是能夠配置、新增、變更和刪除條目的特殊帳號。

獲得特權帳號一直都是駭客攻擊的主要手段，
透過獲得更高的存取權限來竊取資料或其他攻擊行為。
身份安全的另一塊基石是特權帳號管理，
Privileged Access Management, PAM，
借助 PAM 的工具協助組織保護特權帳戶，
透過管控特權使用者和帳戶活動來保護特權憑證，
達到「最小特權原則（PoLP）」強化特權帳號存取行為。

特權帳號(PAM)概述

身分和存取管理(IAM) 是一個廣泛的領域，
泛指所有使用者和資源的所有身分相關的安全管理，
而 PAM 則是 IAM 的專屬領域，旨於專注保護特權帳戶和使用者。
IAM 和 PAM 之間彼此有顯著的重疊，
兩者都涉及身分配置、存取控制以及身份驗證和授權機制，
但 PAM 比標準 IAM 措施會進一步，
因為特權帳戶需要比標準帳戶更強的保護，
包含像是密碼金庫、會話紀錄(Session Recording)等強身份存取手段。
而像對於一般帳戶、非特權帳號採用 PAM 特權管理方案，
可能會因為大幅中斷正常用戶的系統訪問過程，使人們難以完成日常工作。
這種兼顧「生產力」與「身份安全」的要求差異，
即是 PAM 和 IAM 分成獨立但相關技術領域的原因。

特權帳號運作特性

特權存取管理結合流程和技術工具來控制特權的分配、存取和使用方式。
許多 PAM 策略在於三個核心關鍵：

1. 特權帳戶管理：建立、設定和安全管理具提升權限的特權帳戶
2. 權限管理：管理使用者取得權限的方式和時間，以及其權限能執行哪些操作
3. 特權會話管理：監控特權活動以偵測可疑行為並確保合規性。

基本上只要是具有高於平均存取權限的任何帳戶，都屬於特權帳號，
因為特權用戶可以執行系統設定更改、新軟體安裝以及新增或刪除其他使用者等高權限操作，
特權帳戶可能有很多形式，包含人類或非人類帳號，都可能屬於特權帳戶，像是

1. 本機管理帳戶(Local)：控制單一筆記型電腦、伺服器或其他單一端點。
2. 網域管理帳戶(Domain)：用戶能夠控制整個網域，例如 Microsoft Active Directory 的 DC 管理員
3. 特權應用帳戶(Privileged user accounts)：提供非 IT 目的的更高存取權限，例如財務員工用於存取公司資金的帳戶。
4. 超級使用帳戶(Superuser)：在特定系統中授予不受限制的權限。在 Unix 和 Linux® 系統中，超級使用者帳號稱為「root」帳號。在 Microsoft Windows 中，它們被稱為「管理員(Administration」帳戶。
5. 服務帳戶(Service)：允許應用程式和自動化工作流程與作業系統互動。
6. 應用程式帳戶(Application)：使應用程式間相互互動，例如應用程式介面(API)認證等。

小結

特權方案在 IAM 裡面，可以帶給組織幾種效益，包含：

縮小身分攻擊面
現在駭客攻擊行為越來越多地採用合法帳戶，
因此身份特權的管控也是現今資安威脅的趨勢。

管理身分蔓延
各式環境都可能存有企業網路特權身分，
系統複雜度提升同時，也面臨更多特權帳戶滋生的過程。

權限存取管控
PAM 工具可以強制執行精細的存取權限，
同時管控只有獲得授權的使用者才能存取敏感數據。