Création d'une politique de refus d'accès pour just-in-time l'accès aux nœuds

Les politiques de refus d'accès utilisent le langage politique de Cedar pour définir les nœuds auxquels les utilisateurs ne peuvent pas se connecter automatiquement sans approbation manuelle. Une politique de refus d'accès contient plusieurs forbid instructions spécifiant le principal et. resource Chaque déclaration inclut une when clause définissant les conditions pour refuser explicitement l'approbation automatique.

Voici un exemple de politique de refus d'accès.


forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

La procédure suivante décrit comment créer une politique de refus d'accès pour l'accès aux just-in-time nœuds. Pour plus d'informations sur la façon de créer des déclarations de politique, consultezStructure de déclaration et opérateurs intégrés pour les politiques d'approbation automatique et de refus d'accès.

Note

Notez les informations suivantes.

Vous pouvez créer des politiques de refus d'accès lorsque vous êtes connecté au compte AWS de gestion ou au compte d'administrateur délégué. Votre AWS Organizations organisation ne peut avoir qu'une seule politique de refus d'accès.
Just-in-time node access uses AWS Resource Access Manager (AWS RAM) pour partager votre politique de refus d'accès avec les comptes membres de votre organisation. Si vous souhaitez partager votre politique de refus d'accès avec les comptes membres de votre organisation, le partage des ressources doit être activé depuis le compte de gestion de votre organisation. Pour de plus amples informations, veuillez consulter Activer le partage de ressources dans AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Pour créer une politique de refus d'accès

Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.
Sélectionnez Gérer l'accès aux nœuds dans le volet de navigation.
Dans l'onglet Politiques d'approbation, sélectionnez Créer une politique de refus d'accès.
Entrez votre déclaration de politique pour la politique de refus d'accès dans la section Déclaration de politique. Vous pouvez utiliser les exemples de déclarations fournis pour vous aider à créer votre politique.
Sélectionnez Créer une politique de refus d'accès.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds

Créez des politiques d'approbation pour l'accès aux just-in-time nœuds avec Amazon Q