Cómo crear políticas de aprobación para sus nodos

Las políticas de aprobación definen qué aprobaciones necesitan los usuarios para acceder a un nodo. Dado que el acceso a los nodos justo a tiempo elimina la necesidad de contar con permisos permanentes para acceder a los nodos mediante políticas de IAM, usted debe crear políticas de aprobación para permitir el acceso. Si no hay políticas de aprobación que se apliquen a un nodo, los usuarios no podrán solicitar el acceso.

En el acceso a los nodos justo a tiempo, hay tres tipos de políticas: aprobación automática, denegación de acceso y aprobación manual.

Tipos de políticas de acceso a los nodos justo a tiempo

• Una política de aprobación automática define a qué nodos se pueden conectar los usuarios automáticamente.

• Las políticas de aprobación manual definen el número y los niveles de aprobaciones manuales que se deben proporcionar para acceder a los nodos especificados.

• Una política de denegación de acceso impide explícitamente la aprobación automática de las solicitudes de acceso a los nodos especificados.

Una política de denegación de acceso se aplica a todas las cuentas de una organización de AWS Organizations. Por ejemplo, puede denegar explícitamente las aprobaciones automáticas para el grupo Intern a los nodos etiquetados con la clave Production. Las políticas de aprobación automática y manual se aplican solo a las Cuentas de AWS y Regiones de AWS en las que se crearon. Cada cuenta de miembro de su organización administra sus propias políticas de aprobación. Las políticas de aprobación se evalúan en el siguiente orden:

1. Denegación de acceso

2. Aprobación automática

3. Manual

Aunque solo puede tener una política de denegación de acceso por organización y una política de aprobación automática por cuenta y región, es probable que tenga varias políticas de aprobación manual en una cuenta. Al evaluar las políticas de aprobación manual, el acceso a los nodos justo a tiempo siempre favorece la política más específica para un nodo. Las políticas de aprobación manual se evalúan en el siguiente orden:

1. Destino específico según la etiqueta

2. Todos los destinos de los nodos

Por ejemplo, tiene un nodo etiquetado con la clave Demo. En la misma cuenta, tiene una política de aprobación manual que se dirige a todos los nodos y requiere una aprobación de un nivel. También tiene una política de aprobación manual que requiere dos aprobaciones de dos niveles para los nodos etiquetados con la clave Demo. Systems Manager aplica la política que dirige la etiqueta Demo al nodo, ya que es más específica que la política que se dirige a todos los nodos. Esto le permite crear una política general para todos los nodos de la cuenta, lo que garantiza que los usuarios puedan enviar solicitudes de acceso y, al mismo tiempo, le permite crear políticas más detalladas según sea necesario.

Según su organización, es posible que se apliquen varias etiquetas a los nodos. En esta situación, si se aplican varias políticas de aprobación manual a un nodo, las solicitudes de acceso fallan. Por ejemplo, un nodo está etiquetado con las claves Production y Database. En la misma cuenta, tiene una política de aprobación manual que se aplica a los nodos etiquetados con la clave Production y otra política de aprobación manual que se aplica a los nodos etiquetados con la clave Database. Esto provoca un conflicto en el nodo que está etiquetado con ambas claves, y las solicitudes de acceso fallan. Systems Manager redirige al usuario a la solicitud fallida. Allí, verá los detalles sobre las políticas y etiquetas en conflicto para poder realizar los ajustes necesarios si dispone de los permisos requeridos. De lo contrario, puede notificar a un colega en la organización que tenga los permisos necesarios para modificar las políticas. Los conflictos de políticas que provocan solicitudes de acceso fallidas emiten eventos de EventBridge, lo que le ofrece flexibilidad para crear sus propios flujos de trabajo de respuesta. Además, Systems Manager les envía, a los destinatarios especificados, notificaciones por correo electrónico en caso de conflictos de políticas que provoquen solicitudes de acceso fallidas. Para obtener más información acerca de la configuración de notificaciones por correo electrónico para políticas en conflicto, consulte Cómo configurar las notificaciones para las solicitudes de acceso justo a tiempo.

En una política de denegación de acceso, se utiliza el lenguaje de políticas de Cedar para definir, de forma explícita, a qué nodos no se pueden conectar automáticamente los usuarios en la organización. Esta política se crea y se comparte desde la cuenta de administrador delegado de su organización. La política de denegación de acceso tiene prioridad sobre todas las políticas de aprobación automática. Solo puede tener una política de denegación de acceso por organización.

En una política de aprobación automática, se utiliza el lenguaje de políticas de Cedar para definir qué usuarios pueden conectarse automáticamente a los nodos especificados sin aprobación manual. Si una solicitud de acceso se aprueba automáticamente, la duración del acceso es de 1 hora. Este valor no se puede cambiar. Solo puede tener una política de aprobación automática por cuenta y región.

En una política de aprobación manual, se especifica la duración del acceso, cuántos niveles de aprobación se requieren, el número de aprobadores necesarios por nivel y los nodos a los que pueden aprobar las solicitudes de acceso justo a tiempo. La duración del acceso para una política de aprobación manual debe estar entre 1 y 336 horas. Si especifica varios niveles de aprobaciones, las aprobaciones de la solicitud de acceso se procesan de un nivel a la vez. Esto significa que todas las aprobaciones que necesite para un nivel deben proporcionarse antes de que el proceso de aprobación pase a los niveles siguientes. Si especifica varias etiquetas en una política de aprobación manual, se evalúan como instrucciones or, no como instrucciones and. Por ejemplo, si crea una política de aprobación manual que incluye las etiquetas Application, Web y Test, la política se aplica a cualquier nodo que esté etiquetado con una de esas claves. La política no se aplica solo a los nodos que están etiquetados con las tres claves.

Recomendamos utilizar una combinación de políticas manuales con la política de aprobación automática para ayudar a proteger los nodos que tienen datos críticos y, al mismo tiempo, permitir que los usuarios se conecten a los nodos menos críticos sin intervención. Por ejemplo, puede requerir aprobaciones manuales para las solicitudes de acceso a los nodos de base de datos y aprobar automáticamente las sesiones para los nodos no persistentes de la capa de presentación.

En los siguientes procedimientos, se describe cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo.

Temas

• Cómo crear políticas de aprobación manual sobre el acceso a los nodos justo a tiempo

• Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso

• Cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo

• Cómo crear una política de denegación sobre el acceso a los nodos justo a tiempo

• Cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo con Amazon Q