Eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff erstellen - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff erstellen

Deny-Access-Richtlinien verwenden die Cedar-Richtliniensprache, um zu definieren, zu welchen Knoten Benutzer ohne manuelle Genehmigung nicht automatisch eine Verbindung herstellen können. Eine Zugriffsverweigerungsrichtlinie enthält mehrere forbid Anweisungen, die das und angeben. principal resource Jede Anweisung enthält eine when Klausel, in der die Bedingungen für die ausdrückliche Ablehnung der automatischen Genehmigung definiert sind.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie zur Zugriffsverweigerung.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

Das folgende Verfahren beschreibt, wie Sie eine Deny-Access-Richtlinie für den Knotenzugriff erstellen. just-in-time Weitere Informationen zum Erstellen von Richtlinienanweisungen finden Sie unter. Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung

Anmerkung

Notieren Sie die folgenden Informationen:

  • Sie können Richtlinien für die Zugriffsverweigerung erstellen, während Sie mit dem AWS Verwaltungskonto oder dem delegierten Administratorkonto angemeldet sind. In Ihrer AWS Organizations Organisation kann es nur eine Richtlinie zur Zugriffsverweigerung geben.

  • Just-in-time node access verwendet AWS Resource Access Manager (AWS RAM), um Ihre Zugriffsverweigerungsrichtlinie mit Mitgliedskonten in Ihrer Organisation zu teilen. Wenn Sie Ihre Zugriffsverweigerungsrichtlinie mit den Mitgliedskonten in Ihrer Organisation teilen möchten, muss die gemeinsame Nutzung von Ressourcen über das Verwaltungskonto Ihrer Organisation aktiviert werden. Weitere Informationen finden Sie unter Ressourcenfreigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

Um eine Zugriffsverweigerungsrichtlinie zu erstellen

  1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Knotenzugriff verwalten aus.

  3. Wählen Sie auf der Registerkarte Genehmigungsrichtlinien die Option Richtlinie zur Zugriffsverweigerung erstellen aus.

  4. Geben Sie Ihre Richtlinienerklärung für die Richtlinie zur Zugriffsverweigerung im Abschnitt Richtlinienerklärung ein. Sie können die bereitgestellten Mustererklärungen als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.

  5. Wählen Sie Richtlinie zur Zugriffsverweigerung erstellen aus.