Criar políticas de aprovação para os nós

As políticas de aprovação definem quais aprovações os usuários precisam ter para acessar um nó. Como o acesso a nós just-in-time elimina a necessidade de permissões prolongadas para os nós por meio de políticas do IAM, você deve criar políticas de aprovação para permitir o acesso aos nós. Se não houver políticas de aprovação que se apliquem a um nó, os usuários não poderão solicitar acesso ao nó.

No acesso a nós just-in-time, há três tipos de políticas. Os tipos de política são: aprovação automática, negação de acesso e aprovação manual.

Tipos de política de acesso a nós just-in-time

• Uma política de aprovação automática define a quais nós os usuários podem se conectar automaticamente.

• As políticas de aprovação manual definem o número e os níveis de aprovações manuais que devem ser fornecidas para acessar os nós que você especificar.

• Uma política de negação de acesso impede explicitamente a aprovação automática de solicitações de acesso aos nós que você especificar.

Uma política de negação de acesso se aplica a todas as contas em uma organização do AWS Organizations. Por exemplo, você pode negar explicitamente as aprovações automáticas para o grupo Intern aos nós marcados com a chave Production. As políticas de aprovação automática e manual se aplicam somente às Contas da AWS e às Regiões da AWS onde foram criadas. Cada conta de membro em sua organização gerencia suas próprias políticas de aprovação. As políticas de aprovação são avaliadas na seguinte ordem:

1. Negar acesso

2. Aprovação automática

3. Manual

Embora você só possa ter uma política de negação de acesso por organização e uma política de aprovação automática por conta e região, você provavelmente terá várias políticas de aprovação manual em uma conta. Ao avaliar as políticas de aprovação manual, o acesso a nós just-in-time sempre favorece a política mais específica de um nó. As políticas de aprovação manual são avaliadas na seguinte ordem:

1. Tags específicas para destino

2. Todos os nós para destino

Por exemplo, você tem um nó marcado com a chave Demo. Na mesma conta, você tem uma política de aprovação manual que visa todos os nós e exige uma aprovação de um nível. Você também tem uma política de aprovação manual que exige duas aprovações de dois níveis para nós marcados com a chave Demo. O Systems Manager aplica a política que direciona a tag Demo ao nó, pois ela é mais específica do que a política que visa todos os nós. Isso permite que você crie uma política geral para todos os nós na sua conta, garantindo que os usuários possam enviar solicitações de acesso e, ao mesmo tempo, permitindo que você crie políticas mais granulares conforme necessário.

Dependendo da sua organização, pode haver várias tags aplicadas aos nós. Nesse cenário, se várias políticas de aprovação manual se aplicarem a um nó, as solicitações de acesso falharão. Por exemplo, um nó é marcado com as chaves Production e Database. Na mesma conta, você tem uma política de aprovação manual que se aplica aos nós marcados com a chave Production e outra política de aprovação manual que se aplica aos nós marcados com a chave Database. Isso resulta em um conflito para o nó marcado com ambas as chaves, e as solicitações de acesso falham. O Systems Manager redireciona o usuário para a solicitação que falhou. Lá, é possível ver os detalhes sobre as políticas e tags conflitantes para que o usuário possa fazer os ajustes necessários caso tenha as permissões necessárias. Do contrário, o usuário pode notificar um colega em sua organização com as permissões necessárias para modificar as políticas. Conflitos de políticas que resultam em falhas nas solicitações de acesso emitem eventos do EventBridge, permitindo flexibilidade na criação de seus próprios fluxos de trabalho de resposta. Além disso, o Systems Manager envia notificações por e-mail sobre conflitos de políticas que resultam em solicitações de acesso com falha para os destinatários que você especificar. Para obter mais informações sobre como configurar notificações por e-mail de conflitos de políticas, consulte Configurar notificações para solicitações de acesso just-in-time.

Em uma política de negação de acesso, você usa a linguagem de política Cedar para definir a quais nós os usuários explicitamente não podem se conectar automaticamente em sua organização. Essa política é criada e compartilhada da conta do administrador delegado da sua organização. A política de negação de acesso substitui todas as políticas de aprovação automática. Você só pode ter uma política de negação de acesso por organização.

Em uma política de aprovação automática, você usa a linguagem de política Cedar para definir quais usuários podem se conectar automaticamente aos nós especificados sem aprovação manual. A duração do acesso para uma solicitação de acesso aprovada automaticamente é de uma hora. Esse valor não pode ser alterado. Você só pode ter uma política de aprovação automática por conta e região.

Em uma política de aprovação manual, você especifica a duração do acesso, quantos níveis de aprovações são necessários, o número de aprovadores necessários por nível e os nós para os quais eles podem aprovar solicitações de acesso just-in-time. A duração do acesso para uma política de aprovação manual deve estar entre 1 e 336 horas. Se você especificar vários níveis de aprovações, as aprovações para a solicitação de acesso processarão um nível por vez. Isso significa que todas as aprovações necessárias para um nível deverão ser fornecidas antes que o processo de aprovação passe para os níveis subsequentes. Se você especificar várias tags em uma política de aprovação manual, elas serão avaliadas como instruções or, não instruções and. Por exemplo, se você criar uma política de aprovação manual que inclua as tags Application, Web e Test, a política se aplicará a qualquer nó que esteja marcado com uma dessas chaves. A política não se aplica somente aos nós marcados com as três chaves.

Recomendamos usar uma combinação de políticas manuais com sua política de aprovação automática para ajudar você a proteger nós com dados mais críticos e, ao mesmo tempo, permitir que os usuários se conectem a nós menos críticos sem intervenção. Por exemplo, você pode exigir aprovações manuais para solicitações de acesso aos nós do banco de dados e aprovar automaticamente sessões para nós não persistentes da camada de apresentação.

Os procedimentos a seguir descrevem como criar políticas de aprovação para o acesso a nós just-in-time.

Tópicos

• Criar políticas de aprovação manual para acesso a nós just-in-time

• Estrutura de instruções e operadores integrados para políticas de aprovação automática e negação de acesso

• Criar uma política de aprovação automática para acesso a nós just-in-time

• Criar uma política de negação de acesso para acesso a nós just-in-time

• Criar políticas de aprovação para acesso a nós just-in-time com o Amazon Q