AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff

Richtlinien für automatische Genehmigungen verwenden die Richtliniensprache Cedar, um festzulegen, welche Benutzer ohne manuelle Genehmigung automatisch eine Verbindung zu den angegebenen Knoten herstellen können. Eine automatische Genehmigungsrichtlinie enthält mehrere permit Anweisungen, die principal und resource angeben. Jede Anweisung enthält eine when-Klausel, in der die Bedingungen für die automatische Genehmigung definiert sind.

Es folgt eine Beispielrichtlinie für die automatische Genehmigung.


permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

Das folgende Verfahren beschreibt, wie Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff erstellen. Die Zugriffsdauer für eine Zugriffsanforderung, die automatisch genehmigt wird, beträgt 1 Stunde. Dieser Wert kann nicht geändert werden. Sie können nur eine automatische Genehmigungsrichtlinie pro AWS-Konto und AWS-Region haben. Weitere Informationen zum Erstellen einer Richtlinienanweisung finden Sie unter Struktur der Anweisungen und integrierten Operatoren für automatische Genehmigungs- und Zugriffsverweigerungsrichtlinien.

Erstellen Sie eine Richtlinie für automatische Genehmigungen wie folgt:

Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/
Wählen Sie im Navigationsbereich Knotenzugriff verwalten aus.
Wählen Sie auf der Registerkarte Genehmigungsrichtlinien die Option Richtlinie für automatische Genehmigung erstellen aus.
Geben Sie Ihre Richtlinienanweisung für die Richtlinie zur automatischen Genehmigung im Abschnitt Richtlinienanweisung ein. Sie können die bereitgestellten Beispielanweisungen als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.
Wählen Sie Richtlinie für automatische Genehmigung erstellen aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Struktur der Anweisungen und integrierten Operatoren für automatische Genehmigungs- und Zugriffsverweigerungsrichtlinien

Erstellen Sie eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff