Erstellen Sie Genehmigungsrichtlinien für Ihre Knoten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie Genehmigungsrichtlinien für Ihre Knoten

Genehmigungsrichtlinien definieren, welche Genehmigungen Benutzer für den Zugriff auf einen Knoten benötigen. Da just-in-time beim Knotenzugriff keine seit langem bestehenden Berechtigungen für Knoten durch IAM-Richtlinien erforderlich sind, müssen Sie Genehmigungsrichtlinien erstellen, um den Zugriff auf Ihre Knoten zu ermöglichen. Wenn für einen Knoten keine Genehmigungsrichtlinien gelten, können Benutzer keinen Zugriff auf den Knoten beantragen.

Beim just-in-time Knotenzugriff gibt es drei Arten von Richtlinien. Die Richtlinientypen sind automatische Genehmigung, Zugriffsverweigerung und manuelle Genehmigung.

Just-in-time Richtlinientypen für den Knotenzugriff

  • Eine automatische Genehmigungsrichtlinie definiert, mit welchen Knoten Benutzer automatisch eine Verbindung herstellen können.

  • Richtlinien für manuelle Genehmigungen definieren die Anzahl und die Stufen der manuellen Genehmigungen, die für den Zugriff auf die von Ihnen angegebenen Knoten erteilt werden müssen.

  • Eine Deny-Access-Richtlinie verhindert ausdrücklich die automatische Genehmigung von Zugriffsanforderungen an die von Ihnen angegebenen Knoten.

Eine Zugriffsverweigerungsrichtlinie gilt für alle Konten in einer Organisation. AWS Organizations Beispielsweise könnten Sie Knoten, die mit dem Schlüssel gekennzeichnet sind, ausdrücklich automatische Genehmigungen für die Intern Production Gruppe verweigern. Richtlinien für die automatische Genehmigung und die manuelle Genehmigung gelten nur für die AWS-Konten und an dem Ort, an AWS-Regionen dem sie erstellt wurden. Jedes Mitgliedskonto in Ihrer Organisation verwaltet seine eigenen Genehmigungsrichtlinien. Genehmigungsrichtlinien werden in der folgenden Reihenfolge bewertet:

  1. Zugriff verweigern

  2. Automatische Genehmigung

  3. Manuell

Sie können zwar nur eine Zugriffsverweigerungsrichtlinie pro Organisation und eine automatische Genehmigungsrichtlinie pro Konto und Region einrichten, aber Sie werden wahrscheinlich mehrere Richtlinien für manuelle Genehmigungen in einem Konto haben. Bei der Bewertung manueller Genehmigungsrichtlinien wird beim just-in-time Knotenzugriff immer die spezifischere Richtlinie für einen Knoten bevorzugt. Richtlinien für manuelle Genehmigungen werden in der folgenden Reihenfolge bewertet:

  1. Spezifisches Ziel taggen

  2. Alle Knoten zielen

Sie haben beispielsweise einen Knoten, der mit dem Demo Schlüssel markiert ist. In demselben Konto haben Sie eine manuelle Genehmigungsrichtlinie, die auf alle Knoten abzielt und eine Genehmigung von einer Ebene erfordert. Sie haben auch eine manuelle Genehmigungsrichtlinie, die zwei Genehmigungen von zwei Ebenen für Knoten erfordert, die mit dem Demo Schlüssel gekennzeichnet sind. Systems Manager wendet die Richtlinie, die auf das Demo Tag abzielt, auf den Knoten an, da sie spezifischer ist als die Richtlinie, die auf alle Knoten abzielt. Auf diese Weise können Sie eine allgemeine Richtlinie für alle Knoten in Ihrem Konto erstellen, um sicherzustellen, dass Benutzer Zugriffsanfragen stellen können, und Sie gleichzeitig bei Bedarf detailliertere Richtlinien erstellen können.

Je nach Ihrer Organisation werden Ihren Knoten möglicherweise mehrere Tags zugewiesen. Wenn in diesem Szenario mehrere manuelle Genehmigungsrichtlinien für einen Knoten gelten, schlagen Zugriffsanforderungen fehl. Ein Knoten ist beispielsweise mit den Database Tasten Production und gekennzeichnet. In demselben Konto haben Sie eine manuelle Genehmigungsrichtlinie, die für Knoten gilt, die mit dem Production Schlüssel markiert sind, und eine weitere manuelle Genehmigungsrichtlinie, die für Knoten gilt, die mit dem Database Schlüssel gekennzeichnet sind. Dies führt zu einem Konflikt für den Knoten, der mit beiden Schlüsseln gekennzeichnet ist, und die Zugriffsanforderungen schlagen fehl. Systems Manager leitet den Benutzer zu der fehlgeschlagenen Anfrage weiter. Dort können sie Details zu den widersprüchlichen Richtlinien und Tags einsehen, sodass sie die erforderlichen Anpassungen vornehmen können, sofern sie über die erforderlichen Berechtigungen verfügen. Andernfalls können sie einen Kollegen in ihrer Organisation benachrichtigen, der über die erforderlichen Berechtigungen verfügt, um die Richtlinien zu ändern. Richtlinienkonflikte, die zu fehlgeschlagenen Zugriffsanfragen führen, lösen EventBridge Ereignisse aus, sodass Sie flexibel Ihre eigenen Antwort-Workflows erstellen können. Darüber hinaus sendet Systems Manager E-Mail-Benachrichtigungen für Richtlinienkonflikte, die zu fehlgeschlagenen Zugriffsanforderungen führen, an die von Ihnen angegebenen Empfänger. Weitere Informationen zur Konfiguration von E-Mail-Benachrichtigungen für Richtlinienkonflikte finden Sie unterBenachrichtigungen für just-in-time Zugriffsanfragen konfigurieren.

In einer Deny-Access-Richtlinie verwenden Sie die Cedar-Richtliniensprache, um zu definieren, mit welchen Knoten Benutzer in Ihrer Organisation explizit nicht automatisch eine Verbindung herstellen können. Diese Richtlinie wird über das delegierte Administratorkonto für Ihre Organisation erstellt und gemeinsam genutzt. Die Richtlinie „Zugriff verweigern“ hat Vorrang vor allen Richtlinien für die automatische Genehmigung. Sie können pro Organisation nur eine Zugriffsverweigerungsrichtlinie einrichten.

In einer Richtlinie für die automatische Genehmigung verwenden Sie die Cedar-Richtliniensprache, um zu definieren, welche Benutzer ohne manuelle Genehmigung automatisch eine Verbindung zu den angegebenen Knoten herstellen können. Die Zugriffsdauer für eine Zugriffsanfrage, die automatisch genehmigt wird, beträgt 1 Stunde. Dieser Wert kann nicht geändert werden. Sie können nur eine Richtlinie für die automatische Genehmigung pro Konto und Region einrichten.

In einer manuellen Genehmigungsrichtlinie geben Sie die Zugriffsdauer, die Anzahl der erforderlichen Genehmigungsebenen, die Anzahl der pro Ebene erforderlichen Genehmiger und die Knoten an, für die sie just-in-time Zugriffsanfragen genehmigen können. Die Zugriffsdauer für eine manuelle Genehmigungsrichtlinie muss zwischen 1 und 336 Stunden liegen. Wenn Sie mehrere Genehmigungsebenen angeben, werden die Genehmigungen für die Zugriffsanfrage stufenweise verarbeitet. Das bedeutet, dass alle Genehmigungen, die Sie für eine Ebene benötigen, erteilt werden müssen, bevor der Genehmigungsprozess auf nachfolgende Ebenen übergeht. Wenn Sie in einer manuellen Genehmigungsrichtlinie mehrere Tags angeben, werden diese als Aussagen und nicht and als or Aussagen bewertet. Wenn Sie beispielsweise eine manuelle Genehmigungsrichtlinie erstellen, die die TagsApplication, Web und enthältTest, gilt die Richtlinie für jeden Knoten, der mit einem dieser Schlüssel gekennzeichnet ist. Die Richtlinie gilt nicht nur für Knoten, die mit allen drei Schlüsseln gekennzeichnet sind.

Wir empfehlen, eine Kombination aus manuellen Richtlinien und Ihrer automatischen Genehmigungsrichtlinie zu verwenden, um Knoten mit kritischeren Daten zu schützen und Benutzern gleichzeitig zu ermöglichen, sich ohne Eingreifen mit weniger kritischen Knoten zu verbinden. Sie können beispielsweise manuelle Genehmigungen für Zugriffsanforderungen an Datenbankknoten vorschreiben und Sitzungen für nicht persistente Knoten der Präsentationsebene automatisch genehmigen.

In den folgenden Verfahren wird beschrieben, wie Genehmigungsrichtlinien für just-in-time den Knotenzugriff erstellt werden.

Themen