Cómo crear una política de denegación sobre el acceso a los nodos justo a tiempo

Las políticas de denegación de acceso utilizan el lenguaje de políticas Cedar para definir a qué nodos no se pueden conectar automáticamente los usuarios sin una aprobación manual. Una política de denegación de acceso contiene varias instrucciones forbid que especifican la principal y el resource. Cada instrucción incluye una cláusula when que define las condiciones para denegar explícitamente la aprobación automática.

A continuación, se muestra un ejemplo de política de denegación de acceso.


forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

En el siguiente procedimiento, se describe cómo crear una política de denegación de acceso sobre los nodos justo a tiempo. Para obtener más información acerca de cómo crear instrucciones de políticas, consulte Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso.

nota

Observe la siguiente información.

Puede crear políticas de denegación de acceso mientras está conectado a la cuenta de administración de AWS o a la cuenta de administrador delegado. La organización de AWS Organizations solo puede tener una política de denegación de acceso.
El acceso a los nodos justo a tiempo utiliza AWS Resource Access Manager (AWS RAM) para compartir su política de denegación de acceso con las cuentas de miembro de su organización. Si desea compartir su política de denegación de acceso con las cuentas de miembro de su organización, debe habilitar el uso compartido de recursos desde la cuenta de administración de su organización. Para obtener más información, consulte Habilitar el uso compartido de recursos dentro de AWS Organizations en la Guía del usuario de AWS RAM.

Cómo crear una política de denegación de acceso

Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, seleccione Administrar acceso a nodos.
En la pestaña Políticas de aprobación, seleccione Crear política de denegación de acceso.
Introduzca su instrucción para la política de denegación de acceso en la sección Instrucción de la política. Puede usar las Instrucciones de ejemplo proporcionadas que le ayudarán a crear la política.
Seleccione Crear política de denegación de acceso.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo

Cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo con Amazon Q