Identifizieren Sie Ihren Anwendungsfall Einrichten Ihrer Entwicklungsumgebung Entwickeln der Inhalte für Genehmigungsrichtlinien

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Genehmigungsrichtlinien für den Just-in-Time-Knotenzugriff mit Amazon Q

Die Verwendung von Amazon Q Developer für die Befehlszeile bietet Beratung und Unterstützung in verschiedenen Aspekten der Softwareentwicklung. Für den Just-in-Time-Knotenzugriff unterstützt Sie Amazon Q bei der Erstellung von Genehmigungsrichtlinien, indem es den Code für die Richtlinien generiert und aktualisiert, Richtlinienerklärungen analysiert und vieles mehr. Die folgenden Informationen beschreiben, wie Genehmigungsrichtlinien mithilfe von Amazon Q für die Befehlszeile erstellt werden.

Identifizieren Sie Ihren Anwendungsfall

Der erste Schritt beim Erstellen von Genehmigungsrichtlinien besteht darin, Ihren Anwendungsfall klar zu definieren. In Ihrer Organisation möchten Sie beispielsweise Zugriffsanforderungen für Knoten mit einem Environment:Testing-Tag automatisch genehmigen. Möglicherweise möchten Sie auch explizit automatische Genehmigungen für Knoten mit einem Environment:Production-Tag verweigern, wenn eine Mitarbeiter-ID mit TEMP beginnt. Für Knoten mit einem Tier:Database-Tag möchten Sie möglicherweise zwei Stufen manueller Genehmigungen vorschreiben.

In einem bestimmten Szenario bevorzugen Sie möglicherweise eine Richtlinie oder Bedingung gegenüber einer anderen. Daher empfiehlt es sich, das Richtlinienverhalten ganz klar zu definieren, das bestimmen soll, welche Aussagen am besten zu Ihrem Anwendungsfall und Ihren Voreinstellungen passen.

Einrichten Ihrer Entwicklungsumgebung

Installieren Sie Amazon Q für die Befehlszeile, in der Sie Ihre Genehmigungsrichtlinien entwickeln möchten. Informationen zur Installation von Amazon Q für die Befehlszeile finden Sie unter Amazon Q für die Befehlszeile installieren im Benutzerhandbuch für Amazon Q Developer.

Wir empfehlen außerdem, den MCP-Server zur AWS Dokumentation zu installieren. Dieser MCP-Server verbindet Amazon Q über die Befehlszeile mit den aktuellsten Dokumentationsressourcen. Informationen zur Verwendung von MCP mit Amazon Q für die Befehlszeile finden Sie unter Verwenden von MCP mit Amazon Q Developer im Benutzerhandbuch für Amazon Q Developer.

Weitere Informationen zum AWS Documentation MCP Server finden Sie unter AWS Documentation MCP Server.

Installieren und konfigurieren Sie den AWS CLI, falls Sie dies noch nicht getan haben. Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI.

Entwickeln der Inhalte für Genehmigungsrichtlinien

Nachdem Ihr Anwendungsfall identifiziert und die Umgebung eingerichtet ist, können Sie den Inhalt für Ihre Richtlinien entwickeln. Ihr Anwendungsfall und Ihre Einstellungen bestimmen weitgehend die Art der Genehmigungsrichtlinien und -anweisungen, die Sie verwenden.

Wenn Sie sich nicht sicher sind, wie Sie eine bestimmte Richtlinie verwenden sollen, oder weitere Informationen zum Schema für eine Richtlinie benötigen, finden Sie weitere Informationen unter Erstellen Sie Genehmigungsrichtlinien für Ihre Knoten und in den nachfolgenden Themen. In diesen Themen wird detailliert erläutert, wie Richtlinien bewertet werden, und es werden praktische Beispielanweisungen bereitgestellt.

Im folgenden Verfahren wird beschreiben, wie Sie Genehmigungsrichtlinien mit Amazon Q für die Befehlszeile erstellen.

Anmerkung

Amazon Q Developer verwendet generative KI. Möglicherweise müssen Sie die Antworten überprüfen. Weitere Informationen finden Sie in der AWS -Richtlinie für verantwortungsvolle KI.

Erstellen Sie Genehmigungsrichtlinien mit Amazon Q für die Befehlszeile wie folgt:

Öffnen Sie Ihr Terminal und starten Sie eine Sitzung mit Amazon Q.
```
$ q chat
```

Geben Sie einen Prompt ein und beschreiben Sie, welche Art von Richtlinienanweisung Sie erstellen möchten. Wenn Sie beispielsweise das vorherige Szenario für eine Genehmigungsrichtlinie verwenden, könnten Sie den folgenden Prompt eingeben:

Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource 
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.

Die Eingabe dieses Beispiel-Prompts führte zu der folgenden Ausgabe:

Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy 
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
                            
Here's the Cedar policy statement:

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") &&
    resource.getTag("Environment") == "Testing"
};


This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators

The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.

Fügen Sie die Richtlinienanweisung in eine neue Cedar-Datei ein, um die Syntax zu überprüfen. Sie können die Anweisung auch mithilfe des Cedar-Playgrounds überprüfen.
Nachdem Sie die Anweisung validiert haben, speichern Sie die Cedar-Datei.
Führen Sie auf Ihrem Terminal den folgenden AWS CLI Befehl aus, um ein SSM-Dokument mit Ihrem Richtlinieninhalt zu erstellen. Bevor Sie Genehmigungsrichtlinien in einer Produktionsumgebung verwenden, testen Sie Ihre Genehmigungsrichtlinien mit einer Teilmenge von Identitäten und Knoten in einem und. AWS-Konto AWS-Region

Anmerkung
Für eine Richtlinie zur automatische Genehmigung muss der Dokumentname SSM-JustInTimeAccessAutoApprovalPolicy lauten. Es kann nur eine automatische Genehmigungsrichtlinie pro AWS-Konto und AWS-Region geben. Bei einer Zugriffsverweigerungsrichtlinie muss der Dokumentname SSM-JustInTimeAccessDenyAccessOrgPolicy lauten. Pro AWS Organizations Organisation kann es nur eine Zugriffsverweigerungsrichtlinie geben, und die Richtlinie muss im delegierten Administratorkonto für Systems Manager erstellt werden. Die Benennungsbeschränkungen für Richtlinien zur manuellen Genehmigung entsprechen denen anderer SSM-Dokumente. Weitere Informationen finden Sie unter CreateDocument.
Linux & macOS
```
aws ssm create-document \
    --content file://path/to/file/policyContent.cedar \
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" \
    --document-type "AutoApproval"
```
Windows
```
aws ssm create-document ^
    --content file://C:\path\to\file\policyContent.cedar ^
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
    --document-type "AutoApproval"
```
PowerShell
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
    -Content $cedar `
    -Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
    -DocumentType "AutoApproval" 
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen Sie eine Deny-Access-Richtlinie für Just-in-Time-Knotenzugriff

Aktualisieren der Einstellungen für eine Just-in-Time-Knotenzugriffssitzung