JIT(Just-in-Time) 노드 액세스에 대한 액세스 거부 정책 생성 - AWS Systems Manager

JIT(Just-in-Time) 노드 액세스에 대한 액세스 거부 정책 생성

액세스 거부 정책은 Cedar 정책 언어를 사용하여 사용자가 수동 승인 없이 자동으로 연결할 수 없는 노드를 정의합니다. 액세스 거부 정책에는 principalresource를 지정하는 여러 forbid 문이 포함되어 있습니다. 각 문에는 자동 승인을 명시적으로 거부하는 조건을 정의하는 when 절이 포함됩니다.

다음은 액세스 거부 정책의 예제입니다.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

다음 절차에서는 JIT(Just-in-Time) 노드 액세스에 대한 액세스 거부 정책을 생성하는 방법을 설명합니다. 정책 문을 구성하는 방법에 대한 자세한 내용은 자동 승인 및 액세스 거부 정책에 대한 문 구조 및 기본 제공 연산자 섹션을 참조하세요.

참고

다음 정보를 참고하세요.

  • AWS 관리 계정 또는 위임된 관리자 계정으로 로그인한 상태에서 액세스 거부 정책을 생성할 수 있습니다. AWS Organizations 조직에는 단 하나의 액세스 거부 정책만 있을 수 있습니다.

  • JIT(Just-in-Time) 노드 액세스는 AWS Resource Access Manager (AWS RAM)를 사용하여 액세스 거부 정책을 조직의 멤버 계정과 공유합니다. 액세스 거부 정책을 조직의 멤버 계정과 공유하려면 조직의 관리 계정에서 리소스 공유를 활성화해야 합니다. 자세한 내용은 ‭AWS RAM 사용 설명서의 ‭‬‭AWS Organizations 내 리소스 공유 활성화‭를 참조하세요.

액세스 거부 정책 생성

  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 노드 액세스 관리를 선택합니다.

  3. 승인 정책 탭에서 액세스 거부 정책 생성을 선택합니다.

  4. 정책 문 섹션에 액세스 거부 정책에 대한 정책 문을 입력합니다. 제공된 샘플 문을 사용하여 정책을 생성할 수 있습니다.

  5. 액세스 거부 정책 생성을 선택합니다.