建立拒絕存取政策以just-in-time存取節點 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立拒絕存取政策以just-in-time存取節點

拒絕存取政策使用 Cedar 政策語言來定義使用者無法在未經手動核准的情況下自動連線到哪些節點。拒絕存取政策包含多個指定 principal和 的forbid陳述式resource。每個陳述式都包含一個子when句,定義明確拒絕自動核准的條件。

以下是拒絕存取政策的範例。

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

下列程序說明如何為just-in-time節點存取建立拒絕存取政策。如需如何建構政策陳述式的詳細資訊,請參閱 自動核准和拒絕存取政策的陳述式結構和內建運算子

注意

記下以下資訊。

  • 您可以在登入 AWS 管理帳戶或委派管理員帳戶時建立拒絕存取政策。您的 AWS Organizations 組織只能有一個拒絕存取政策。

  • Just-in-time節點存取使用 AWS Resource Access Manager (AWS RAM) 與組織中的成員帳戶共用拒絕存取政策。如果您想要與組織中的成員帳戶共用拒絕存取政策,則必須從組織的管理帳戶啟用資源共用。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用

建立拒絕存取政策

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中選取管理節點存取

  3. 核准政策索引標籤中,選取建立拒絕存取政策

  4. 在政策陳述式區段中輸入拒絕存取政策的政策陳述式。您可以使用提供的範例陳述式來協助您建立政策。

  5. 選取建立拒絕存取政策