Creare una politica di negazione dell'accesso per just-in-time l'accesso ai nodi - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare una politica di negazione dell'accesso per just-in-time l'accesso ai nodi

Le politiche di negazione dell'accesso utilizzano il linguaggio di policy Cedar per definire a quali nodi gli utenti non possono connettersi automaticamente senza l'approvazione manuale. Una politica di negazione dell'accesso contiene più forbid istruzioni che specificano e. principal resource Ogni dichiarazione include una when clausola che definisce le condizioni per negare esplicitamente l'approvazione automatica.

Di seguito è riportato un esempio di politica di negazione dell'accesso.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

La procedura seguente descrive come creare una politica di negazione dell'accesso per l'accesso ai nodi. just-in-time Per ulteriori informazioni su come costruire dichiarazioni politiche, vedere. Struttura delle dichiarazioni e operatori integrati per l'approvazione automatica e le politiche di negazione dell'accesso

Nota

Osservare le seguenti informazioni.

  • È possibile creare politiche di negazione dell'accesso mentre si accede all'account di AWS gestione o all'account amministratore delegato. AWS Organizations L'organizzazione può avere una sola politica di negazione dell'accesso.

  • Just-in-time node access utilizza AWS Resource Access Manager (AWS RAM) per condividere la politica di negazione dell'accesso con gli account dei membri dell'organizzazione. Se desideri condividere la tua politica di negazione dell'accesso con gli account dei membri della tua organizzazione, la condivisione delle risorse deve essere abilitata dall'account di gestione dell'organizzazione. Per ulteriori informazioni, consulta Abilitare la condivisione delle risorse con AWS Organizations nella Guida per l'utente di AWS RAM .

Per creare una politica di negazione dell'accesso

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Seleziona Gestisci l'accesso ai nodi nel riquadro di navigazione.

  3. Nella scheda Criteri di approvazione, seleziona Crea un criterio di negazione dell'accesso.

  4. Inserisci la tua dichiarazione sulla politica di negazione dell'accesso nella sezione Dichiarazione sulla politica. Puoi utilizzare le dichiarazioni di esempio fornite per aiutarti a creare la tua politica.

  5. Seleziona Crea politica di negazione dell'accesso.