Membuat kebijakan persetujuan untuk akses just-in-time node dengan Amazon Q - AWS Systems Manager
Identifikasi kasus penggunaan AndaSiapkan lingkungan pengembangan AndaMengembangkan konten kebijakan persetujuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan persetujuan untuk akses just-in-time node dengan Amazon Q

Menggunakan Amazon Q Developer untuk baris perintah memberikan panduan dan dukungan di berbagai aspek pengembangan perangkat lunak. Untuk akses just-in-time node, Amazon Q membantu Anda membuat kebijakan persetujuan dengan membuat dan memperbarui kode untuk kebijakan, menganalisis pernyataan kebijakan, dan banyak lagi. Informasi berikut menjelaskan cara membuat kebijakan persetujuan menggunakan Amazon Q untuk baris perintah.

Identifikasi kasus penggunaan Anda

Langkah pertama dalam membuat kebijakan persetujuan adalah dengan jelas mendefinisikan kasus penggunaan Anda. Misalnya, di organisasi Anda, Anda mungkin ingin secara otomatis menyetujui permintaan akses ke node dengan Environment:Testing tag. Anda mungkin juga ingin secara eksplisit menolak persetujuan otomatis ke node dengan Environment:Production tag jika ID karyawan dimulai dengan. TEMP Untuk node dengan Tier:Database tag, Anda mungkin ingin meminta dua tingkat persetujuan manual.

Dalam skenario apa pun, Anda mungkin lebih memilih satu kebijakan atau kondisi, daripada yang lain. Oleh karena itu, kami menyarankan Anda untuk mendefinisikan dengan jelas perilaku kebijakan yang ingin Anda tentukan pernyataan mana yang paling sesuai dengan kasus penggunaan dan preferensi Anda.

Siapkan lingkungan pengembangan Anda

Instal Amazon Q untuk baris perintah di mana Anda ingin mengembangkan kebijakan persetujuan Anda. Untuk informasi tentang menginstal Amazon Q untuk baris perintah, lihat Menginstal Amazon Q untuk baris perintah di Panduan Pengguna Pengembang Amazon Q.

Kami juga merekomendasikan menginstal server MCP untuk AWS dokumentasi. Server MCP ini menghubungkan Amazon Q untuk baris perintah ke sumber daya dokumentasi terkini. Untuk informasi tentang menggunakan MCP dengan Amazon Q untuk baris perintah, lihat Menggunakan MCP dengan Pengembang Amazon Q di Panduan Pengguna Pengembang Amazon Q.

Untuk informasi selengkapnya tentang server MCP AWS Dokumentasi, lihat AWS Dokumentasi MCP Server.

Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

Mengembangkan konten kebijakan persetujuan

Dengan kasus penggunaan yang teridentifikasi dan pengaturan lingkungan, Anda siap mengembangkan konten untuk kebijakan Anda. Kasus penggunaan dan preferensi Anda sebagian besar akan menentukan jenis kebijakan persetujuan dan pernyataan yang Anda gunakan.

Jika Anda tidak yakin cara menggunakan kebijakan tertentu atau memerlukan informasi lebih lanjut tentang skema untuk kebijakan, lihat Buat kebijakan persetujuan untuk node Anda dan topik berikutnya. Topik-topik ini menjelaskan secara rinci bagaimana kebijakan dievaluasi dan memberikan pernyataan contoh kerja.

Prosedur berikut menjelaskan cara membuat kebijakan persetujuan dengan Amazon Q untuk baris perintah.

catatan

Pengembang Amazon Q menggunakan AI generatif. Anda mungkin perlu memverifikasi tanggapan. Lihat Kebijakan AI yang AWS Bertanggung Jawab.

Untuk membuat kebijakan persetujuan menggunakan Amazon Q untuk baris perintah

  1. Buka terminal Anda dan mulai sesi dengan Amazon Q.

    $ q chat

  2. Masukkan prompt dan jelaskan jenis pernyataan kebijakan yang ingin Anda buat. Misalnya, menggunakan skenario sebelumnya untuk kebijakan persetujuan, Anda dapat memasukkan prompt berikut:

    Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource 
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.

  3. Memasukkan prompt contoh ini menghasilkan output berikut:

    Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy 
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
                            
Here's the Cedar policy statement:

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") &&
    resource.getTag("Environment") == "Testing"
};


This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators

The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.

  4. Rekatkan pernyataan kebijakan ke file Cedar baru untuk memvalidasi sintaks. Anda juga dapat memvalidasi pernyataan menggunakan taman bermain Cedar.

  5. Setelah memvalidasi pernyataan, simpan file Cedar.

  6. Dari terminal Anda, jalankan AWS CLI perintah berikut untuk membuat dokumen SSM menggunakan konten kebijakan Anda. Sebelum menggunakan kebijakan persetujuan di lingkungan produksi, uji kebijakan persetujuan Anda dengan subset identitas dan node di dan. Akun AWS Wilayah AWS

    catatan

    Untuk kebijakan persetujuan otomatis, nama dokumen harusSSM-JustInTimeAccessAutoApprovalPolicy. Hanya ada satu kebijakan persetujuan otomatis per Akun AWS dan Wilayah AWS. Untuk kebijakan akses penolakan, nama dokumen harus. SSM-JustInTimeAccessDenyAccessOrgPolicy Hanya ada satu kebijakan akses penolakan per AWS Organizations organisasi, dan kebijakan tersebut harus dibuat di akun administrator yang didelegasikan untuk Systems Manager. Kendala penamaan untuk kebijakan persetujuan manual sama dengan dokumen SSM lainnya. Untuk informasi selengkapnya, lihat CreateDocument.

    Linux & macOS
    aws ssm create-document \
    --content file://path/to/file/policyContent.cedar \
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" \
    --document-type "AutoApproval"
    Windows 
    aws ssm create-document ^
    --content file://C:\path\to\file\policyContent.cedar ^
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
    --document-type "AutoApproval"
    PowerShell 
    $cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
    -Content $cedar `
    -Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
    -DocumentType "AutoApproval"