ジャストインタイムノードアクセス用のアクセス拒否ポリシーを作成する - AWS Systems Manager

ジャストインタイムノードアクセス用のアクセス拒否ポリシーを作成する

アクセス拒否ポリシーでは、Cedar ポリシー言語を使用して、ユーザーが手動承認なしでどのノードに自動的には接続できないかを定義します。アクセス拒否ポリシーには、principalresource を指定する forbid ステートメントがいくつか含まれています。各ステートメントには、自動承認を明示的に拒否する条件を定義する when 句があります。

次に、アクセス拒否ポリシーの例を示します。

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

以下の手順では、ジャストインタイムノードアクセス用にアクセス拒否ポリシーを作成する方法について説明します。ポリシーステートメントを作成する方法の詳細については、「自動承認ポリシーとアクセス拒否ポリシーのステートメントの構造とビルトイン演算子」を参照してください。

注記

以下の情報に注意してください。

  • アクセス拒否ポリシーを作成するには、AWS 管理アカウントまたは委任管理者アカウントにログインしている必要があります。AWS Organizations 組織は、アクセス拒否ポリシーを 1 つのみ設定できます。

  • ジャストインタイムノードアクセスは AWS Resource Access Manager (AWS RAM) を使用して、拒否アクセスポリシーを組織内のメンバーアカウントと共有します。拒否アクセスポリシーを組織内のメンバーアカウントと共有する場合は、組織の管理アカウントからリソース共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations 内でリソース共有を有効にする」を参照してください。

アクセス拒否ポリシーを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[ノードアクセスを管理] を選択します。

  3. [承認ポリシー] タブで、[アクセス拒否ポリシーを作成] を選択します。

  4. [ポリシーステートメント] セクションにアクセス拒否ポリシー用のポリシーステートメントを入力します。あらかじめ用意されている [サンプルステートメント] を使用すると、ポリシーを簡単に作成できます。

  5. [アクセス拒否ポリシーを作成] を選択します。