Erstellen Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff

Richtlinien für die automatische Genehmigung verwenden die Cedar-Richtliniensprache, um zu definieren, welche Benutzer ohne manuelle Genehmigung automatisch eine Verbindung zu den angegebenen Knoten herstellen können. Eine automatische Genehmigungsrichtlinie enthält mehrere permit Anweisungen, die das principal und resource angeben. Jede Anweisung enthält eine when Klausel, in der die Bedingungen für die automatische Genehmigung definiert sind.

Im Folgenden finden Sie ein Beispiel für eine automatische Genehmigungsrichtlinie.


permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

Das folgende Verfahren beschreibt, wie Sie eine automatische Genehmigungsrichtlinie für den just-in-time Knotenzugriff erstellen. Die Zugriffsdauer für eine Zugriffsanfrage, die automatisch genehmigt wird, beträgt 1 Stunde. Dieser Wert kann nicht geändert werden. Sie können nur eine automatische Genehmigungsrichtlinie pro AWS-Konto und AWS-Region haben. Weitere Informationen zum Erstellen von Richtlinienerklärungen finden Sie unterStruktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung.

So erstellen Sie eine Richtlinie für die automatische Genehmigung

Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/
Wählen Sie im Navigationsbereich die Option Knotenzugriff verwalten aus.
Wählen Sie auf der Registerkarte Genehmigungsrichtlinien die Option Automatische Genehmigungsrichtlinie erstellen aus.
Geben Sie Ihre Richtlinienerklärung für die Richtlinie zur automatischen Genehmigung im Abschnitt Richtlinienerklärung ein. Sie können die bereitgestellten Mustererklärungen als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.
Wählen Sie Richtlinie für automatische Genehmigung erstellen aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung

Eine Deny-Access-Richtlinie für just-in-time den Knotenzugriff erstellen