Criar uma política de negação de acesso para acesso a nós just-in-time - AWS Systems Manager

Criar uma política de negação de acesso para acesso a nós just-in-time

As políticas de negação de acesso usam a linguagem de política Cedar para definir a quais nós os usuários não podem se conectar automaticamente sem aprovação manual. Uma política de negação de acesso contém várias instruções forbid especificando a principal e o resource. Cada instrução inclui uma cláusula when que define as condições para negar explicitamente a aprovação automática.

Confira abaixo um exemplo de política de negação de acesso.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

O procedimento a seguir descreve como criar uma política de negação de acesso para acesso a nós just-in-time. Para obter informações sobre como criar instruções de política, consulte Estrutura de instruções e operadores integrados para políticas de aprovação automática e negação de acesso.

nota

Observe as seguintes informações:

  • Você poderá criar políticas de negação de acesso enquanto estiver conectado à conta de gerenciamento da AWS ou à conta de administrador delegado. Sua organização do AWS Organizations pode ter apenas uma política de negação de acesso.

  • O acesso ao nó just-in-time faz uso do AWS Resource Access Manager (AWS RAM) para compartilhar sua política de negação de acesso com as contas de membros na sua organização. Se você quiser compartilhar sua política de negação de acesso com as contas de membros da sua organização, o compartilhamento de recursos deve ser habilitado na conta gerencial da sua organização. Para obter mais informações, consulte Habilitar o compartilhamento de recursos no AWS Organizations no Guia do usuário do AWS RAM.

Para criar uma política de negação de acesso

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. Selecione Gerenciar acesso a nós no painel de navegação.

  3. Na guia Políticas de aprovação, selecione Criar uma política de negação de acesso.

  4. Insira sua instrução de política para a política de negação de acesso na seção Instrução de política. Você pode usar as Instruções de exemplo fornecidas para ajudar a criar sua política.

  5. Selecione Criar política de negação de acesso.