View a markdown version of this page

Erstellen Sie eine Deny-Access-Richtlinie für Just-in-Time-Knotenzugriff - AWS Systems Manager

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Deny-Access-Richtlinie für Just-in-Time-Knotenzugriff

Deny-access Richtlinien verwenden die Cedar-Richtliniensprache, um zu definieren, zu welchen Knoten Benutzer ohne manuelle Genehmigung nicht automatisch eine Verbindung herstellen können. Eine Zugriffsverweigerungsrichtlinie enthält mehrere forbid-Anweisungen, in denen das principal und resource angegeben wird. Jede Anweisung enthält eine when-Klausel, in der die Bedingungen für die ausdrückliche Ablehnung der automatischen Genehmigung definiert sind.

Im Folgenden finden Sie ein Beispiel für eine Zugriffsverweigerungsrichtlinie.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

Im folgenden Verfahren wird beschrieben, wie Sie eine Zugriffsverweigerungsrichtlinie für den Just-in-Time-Knotenzugriff erstellen. Weitere Informationen zum Erstellen einer Richtlinienanweisung finden Sie unter Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung.

Anmerkung

Notieren Sie die folgenden Informationen:

  • Sie können Richtlinien zur Zugriffsverweigerung erstellen, während Sie beim AWS -Verwaltungskonto oder Konto eines delegierten Administrators angemeldet sind. Sie können nur eine Zugriffsverweigerungsrichtlinie pro AWS Organizations -Organisation haben.

  • Just-in-time node access verwendet AWS Resource Access Manager (AWS RAM), um Ihre Zugriffsverweigerungsrichtlinie mit Mitgliedskonten in Ihrer Organisation zu teilen. Wenn Sie Ihre Zugriffsverweigerungsrichtlinie mit den Mitgliedskonten in Ihrer Organisation teilen möchten, muss die gemeinsame Nutzung von Ressourcen über das Verwaltungskonto Ihrer Organisation aktiviert werden. Weitere Informationen finden Sie unter Ressourcenfreigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

Erstellen Sie eine Zugriffsverweigerungsrichtlinie wie folgt:

  1. Öffnen Sie die AWS Systems Manager Konsole unter. https://console.aws.amazon.com/systems-manager/

  2. Wählen Sie im Navigationsbereich Knotenzugriff verwalten aus.

  3. Wählen Sie auf der Registerkarte Genehmigungsrichtlinien die Option Richtlinie zur Zugriffsverweigerung erstellen aus.

  4. Geben Sie Ihre Richtlinienanweisung für die Richtlinie zur Zugriffsverweigerung im Abschnitt Richtlinienanweisung ein. Sie können die bereitgestellten Beispielanweisungen als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.

  5. Wählen Sie Richtlinie zur Zugriffsverweigerung erstellen aus.