為您的節點建立核准政策 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的節點建立核准政策

核准政策定義使用者存取節點所需的核准。由於just-in-time節點存取不需要透過 IAM 政策對節點提供長期許可,因此您必須建立核准政策,以允許存取您的節點。如果沒有套用至節點的核准政策,使用者就無法請求存取節點。

在just-in-time節點存取中,有三種類型的政策。政策類型為自動核准拒絕存取手動核准

Just-in-time節點存取政策類型

  • 自動核准政策會定義使用者可以自動連線的節點。

  • 手動核准政策會定義您必須提供的手動核准數量和層級,才能存取您指定的節點。

  • 拒絕存取政策明確防止對您指定的節點進行存取請求的自動核准。

拒絕存取政策適用於 AWS Organizations 組織中的所有帳戶。例如,您可以明確拒絕將 Intern群組自動核准到以 Production金鑰標記的節點。自動核准和手動核准政策僅適用於建立它們 AWS 區域 的 AWS 帳戶 和 。組織中的每個成員帳戶都會管理自己的核准政策。核准政策的評估順序如下:

  1. 拒絕存取

  2. 自動核准

  3. 手動

雖然每個組織只能有一個拒絕存取政策,以及每個帳戶和區域有一個自動核准政策,但您可能會在帳戶中有數個手動核准政策。評估手動核准政策時,just-in-time節點存取一律有利於節點更具體的政策。手動核准政策的評估順序如下:

  1. 標記特定目標

  2. 所有節點目標

例如,您有一個以 Demo金鑰標記的節點。在同一帳戶中,您有一個手動核准政策,以所有節點為目標,並且需要一個層級的核准。您也有手動核准政策,需要兩個層級的兩個核准,才能使用 Demo金鑰標記的節點。Systems Manager 會將以Demo標籤為目標的政策套用到節點,因為它比以所有節點為目標的政策更為具體。這可讓您為帳戶中的所有節點建立一般政策,確保使用者可以提交存取請求,同時讓您視需要建立更精細的政策。

根據您的組織,可能有多個標籤套用至您的節點。在此案例中,如果多個手動核准政策適用於節點,則存取請求會失敗。例如,節點會加上 ProductionDatabase金鑰的標籤。在同一帳戶中,您有一個手動核准政策,適用於以 Production 金鑰標記的節點,以及另一個手動核准政策,適用於以 Database金鑰標記的節點。這會導致標記金鑰和存取請求的節點發生衝突。Systems Manager 會將使用者重新導向至失敗的請求。在那裡,他們可以檢視衝突政策和標籤的詳細資訊,以便在他們擁有必要的許可時進行必要的調整。否則,他們可以通知組織中的同事具有修改政策所需的許可。導致存取請求失敗的政策衝突會發出 EventBridge 事件,讓您靈活地建置自己的回應工作流程。此外,Systems Manager 會針對政策衝突,向您指定的收件人傳送導致存取請求失敗的電子郵件通知。如需設定政策衝突電子郵件通知的詳細資訊,請參閱 設定just-in-time存取請求的通知

拒絕存取政策中,您可以使用 Cedar 政策語言來定義使用者明確無法自動連線到組織中哪些節點。此政策是從組織的委派管理員帳戶建立和共用。拒絕存取政策會取代所有自動核准政策。每個組織只能有一個拒絕存取政策。

自動核准政策中,您可以使用 Cedar 政策語言來定義哪些使用者可以自動連線到指定的節點,而無需手動核准。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個帳戶和區域只能有一個自動核准政策。

手動核准政策中,您可以指定存取持續時間、需要多少層級的核准、每個層級所需的核准者數目,以及他們可以核准just-in-time存取請求的節點。手動核准政策的存取持續時間必須介於 1 到 336 小時之間。如果您指定多個層級的核准,存取請求的核准會一次處理一個層級。這表示您必須先提供某個層級所需的所有核准,才能將核准程序移至後續層級。如果您在手動核准政策中指定多個標籤,則會將其評估為or陳述式而非and陳述式。例如,如果您建立包含標籤 ApplicationWeb和 的手動核准政策Test,該政策會套用至任何以其中一個金鑰標記的節點。此政策不僅適用於標記全部三個金鑰的節點。

我們建議您將手動政策與自動核准政策結合使用,以協助您保護具有更關鍵資料的節點,同時允許使用者在不介入的情況下連接到較不關鍵的節點。例如,您可以要求手動核准資料庫節點的存取請求,並自動核准工作階段到非持久性簡報層節點。

下列程序說明如何建立just-in-time節點存取的核准政策。

主題