Membuat kebijakan deny-access untuk just-in-time akses node - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan deny-access untuk just-in-time akses node

Kebijakan akses penolakan menggunakan bahasa kebijakan Cedar untuk menentukan node mana yang tidak dapat tersambung secara otomatis tanpa persetujuan manual. Kebijakan deny-access berisi beberapa forbid pernyataan yang menentukan dan. principal resource Setiap pernyataan menyertakan when klausa yang mendefinisikan kondisi untuk secara eksplisit menolak persetujuan otomatis.

Berikut ini adalah contoh kebijakan deny-access.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

Prosedur berikut menjelaskan cara membuat kebijakan deny-access untuk akses just-in-time node. Untuk informasi selengkapnya tentang cara membuat pernyataan kebijakan, lihatStruktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan.

catatan

Perhatikan informasi berikut.

  • Anda dapat membuat kebijakan akses penolakan saat masuk ke akun AWS Manajemen atau akun administrator yang didelegasikan. AWS Organizations Organisasi Anda hanya dapat memiliki satu kebijakan akses penolakan.

  • Just-in-time akses node menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda. Jika Anda ingin membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda, pembagian sumber daya harus diaktifkan dari akun manajemen organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan berbagi sumber daya AWS Organizations di dalam Panduan AWS RAM Pengguna.

Untuk membuat kebijakan akses penolakan

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Pilih Kelola akses node di panel navigasi.

  3. Di tab Kebijakan persetujuan, pilih Buat kebijakan akses penolakan.

  4. Masukkan pernyataan kebijakan Anda untuk kebijakan akses penolakan di bagian Pernyataan kebijakan. Anda dapat menggunakan pernyataan Sampel yang disediakan untuk membantu Anda membuat kebijakan.

  5. Pilih Buat kebijakan akses penolakan.