Buat kebijakan persetujuan untuk node Anda - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat kebijakan persetujuan untuk node Anda

Kebijakan persetujuan menentukan persetujuan apa yang dibutuhkan pengguna untuk mengakses node. Karena akses just-in-time node menghilangkan kebutuhan akan izin jangka panjang ke node melalui kebijakan IAM, Anda harus membuat kebijakan persetujuan untuk mengizinkan akses ke node Anda. Jika tidak ada kebijakan persetujuan yang berlaku untuk node, pengguna tidak dapat meminta akses ke node.

Dalam akses just-in-time node, ada tiga jenis kebijakan. Jenis kebijakan adalah persetujuan otomatis, akses penolakan, dan persetujuan manual.

Just-in-time jenis kebijakan akses simpul

  • Kebijakan persetujuan otomatis menentukan node mana yang dapat dihubungkan oleh pengguna secara otomatis.

  • Kebijakan persetujuan manual menentukan jumlah dan tingkat persetujuan manual yang harus disediakan untuk mengakses node yang Anda tentukan.

  • Kebijakan deny-access secara eksplisit mencegah persetujuan otomatis permintaan akses ke node yang Anda tentukan.

Kebijakan akses penolakan berlaku untuk semua akun dalam suatu AWS Organizations organisasi. Misalnya, Anda dapat secara eksplisit menolak persetujuan otomatis untuk Intern grup ke node yang ditandai dengan kunci. Production Persetujuan otomatis dan kebijakan persetujuan manual hanya berlaku untuk Akun AWS dan di Wilayah AWS mana kebijakan tersebut dibuat. Setiap akun anggota di organisasi Anda mengelola kebijakan persetujuan mereka sendiri. Kebijakan persetujuan dievaluasi dengan urutan sebagai berikut:

  1. Akses tolak

  2. Persetujuan otomatis

  3. Manual

Meskipun Anda hanya dapat memiliki satu kebijakan akses penolakan per organisasi, dan satu kebijakan persetujuan otomatis per akun dan Wilayah, Anda mungkin akan memiliki beberapa kebijakan persetujuan manual di akun. Saat mengevaluasi kebijakan persetujuan manual, akses just-in-time node selalu mendukung kebijakan yang lebih spesifik untuk sebuah node. Kebijakan persetujuan manual dievaluasi dengan urutan sebagai berikut:

  1. Tandai target spesifik

  2. Semua node menargetkan

Misalnya, Anda memiliki node yang ditandai dengan Demo kunci. Di akun yang sama, Anda memiliki kebijakan persetujuan manual yang menargetkan semua node dan memerlukan satu persetujuan dari satu tingkat. Anda juga memiliki kebijakan persetujuan manual yang memerlukan dua persetujuan dari dua level untuk node yang ditandai dengan kunci. Demo Systems Manager menerapkan kebijakan yang menargetkan Demo tag ke node karena lebih spesifik daripada kebijakan yang menargetkan semua node. Ini memungkinkan Anda membuat kebijakan umum untuk semua node di akun Anda, memastikan pengguna dapat mengirimkan permintaan akses sambil memungkinkan Anda membuat kebijakan yang lebih terperinci sesuai kebutuhan.

Bergantung pada organisasi Anda, mungkin ada beberapa tag yang diterapkan ke node Anda. Dalam skenario ini, jika beberapa kebijakan persetujuan manual berlaku untuk node, permintaan akses gagal. Misalnya, sebuah node ditandai dengan Database kunci Production and. Di akun yang sama, Anda memiliki kebijakan persetujuan manual yang berlaku untuk node yang ditandai dengan Production kunci dan kebijakan persetujuan manual lainnya yang berlaku untuk node yang ditandai dengan kunci. Database Hal ini mengakibatkan konflik untuk node yang ditandai dengan kedua kunci dan permintaan akses gagal. Systems Manager mengarahkan pengguna ke permintaan yang gagal. Di sana, mereka dapat melihat detail tentang kebijakan dan tag yang bertentangan sehingga mereka dapat membuat penyesuaian yang diperlukan jika mereka memiliki izin yang diperlukan. Jika tidak, mereka dapat memberi tahu kolega di organisasi mereka dengan izin yang diperlukan untuk mengubah kebijakan. Konflik kebijakan yang mengakibatkan permintaan akses gagal memancarkan EventBridge peristiwa yang memungkinkan Anda fleksibilitas dalam membangun alur kerja respons Anda sendiri. Selain itu, Systems Manager mengirimkan pemberitahuan email untuk konflik kebijakan yang mengakibatkan permintaan akses gagal ke penerima yang Anda tentukan. Untuk informasi selengkapnya tentang mengonfigurasi notifikasi email untuk konflik kebijakan, lihatKonfigurasikan notifikasi untuk permintaan just-in-time akses.

Dalam kebijakan akses penolakan, Anda menggunakan bahasa kebijakan Cedar untuk menentukan node mana yang secara eksplisit tidak dapat tersambung secara otomatis oleh pengguna di organisasi Anda. Kebijakan ini dibuat dan dibagikan dari akun administrator yang didelegasikan untuk organisasi Anda. Kebijakan deny-access menggantikan semua kebijakan persetujuan otomatis. Anda hanya dapat memiliki satu kebijakan akses penolakan per organisasi.

Dalam kebijakan persetujuan otomatis, Anda menggunakan bahasa kebijakan Cedar untuk menentukan pengguna mana yang dapat secara otomatis terhubung ke node yang ditentukan tanpa persetujuan manual. Durasi akses untuk permintaan akses yang disetujui secara otomatis adalah 1 jam. Nilai ini tidak dapat diubah. Anda hanya dapat memiliki satu kebijakan persetujuan otomatis per akun dan Wilayah.

Dalam kebijakan persetujuan manual, Anda menentukan durasi akses, berapa banyak tingkat persetujuan yang diperlukan, jumlah pemberi persetujuan yang diperlukan per level, dan node yang dapat mereka setujui untuk permintaan just-in-time akses. Durasi akses untuk kebijakan persetujuan manual harus antara 1 dan 336 jam. Jika Anda menentukan beberapa tingkat persetujuan, persetujuan untuk permintaan akses memproses satu tingkat pada satu waktu. Ini berarti semua persetujuan yang Anda perlukan untuk satu tingkat harus diberikan sebelum proses persetujuan pindah ke tingkat berikutnya. Jika Anda menentukan beberapa tag dalam kebijakan persetujuan manual, mereka dievaluasi sebagai or pernyataan bukan and pernyataan. Misalnya, jika Anda membuat kebijakan persetujuan manual yang menyertakan tag Application WebTest, dan kebijakan tersebut berlaku untuk setiap node yang ditandai dengan salah satu kunci tersebut. Kebijakan ini tidak hanya berlaku untuk node yang ditandai dengan ketiga kunci.

Sebaiknya gunakan kombinasi kebijakan manual dengan kebijakan persetujuan otomatis untuk membantu Anda mengamankan node dengan data yang lebih penting sekaligus memungkinkan pengguna untuk terhubung ke node yang kurang kritis tanpa intervensi. Misalnya, Anda dapat meminta persetujuan manual untuk permintaan akses ke node database, dan sesi persetujuan otomatis ke node tingkat presentasi yang tidak persisten.

Prosedur berikut menjelaskan cara membuat kebijakan persetujuan untuk akses just-in-time node.

Topik