• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen Sie eine Deny-Access-Richtlinie für Just-in-Time-Knotenzugriff
<a name="systems-manager-just-in-time-node-access-create-deny-access-policies"></a>

Deny-access Richtlinien verwenden die Cedar-Richtliniensprache, um zu definieren, zu welchen Knoten Benutzer ohne manuelle Genehmigung nicht automatisch eine Verbindung herstellen können. Eine Zugriffsverweigerungsrichtlinie enthält mehrere `forbid`-Anweisungen, in denen das `principal` und `resource` angegeben wird. Jede Anweisung enthält eine `when`-Klausel, in der die Bedingungen für die ausdrückliche Ablehnung der automatischen Genehmigung definiert sind.

Im Folgenden finden Sie ein Beispiel für eine Zugriffsverweigerungsrichtlinie.

```
forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```

Im folgenden Verfahren wird beschrieben, wie Sie eine Zugriffsverweigerungsrichtlinie für den Just-in-Time-Knotenzugriff erstellen. Weitere Informationen zum Erstellen einer Richtlinienanweisung finden Sie unter [Struktur der Anweisungen und integrierte Operatoren für Richtlinien zur automatischen Genehmigung und Zugriffsverweigerung](auto-approval-deny-access-policy-statement-structure.md).

**Anmerkung**  
Notieren Sie die folgenden Informationen:  
Sie können Richtlinien zur Zugriffsverweigerung erstellen, während Sie beim AWS -Verwaltungskonto oder Konto eines delegierten Administrators angemeldet sind. Sie können nur eine Zugriffsverweigerungsrichtlinie pro AWS Organizations -Organisation haben.
Just-in-time node access verwendet AWS Resource Access Manager (AWS RAM), um Ihre Zugriffsverweigerungsrichtlinie mit Mitgliedskonten in Ihrer Organisation zu teilen. Wenn Sie Ihre Zugriffsverweigerungsrichtlinie mit den Mitgliedskonten in Ihrer Organisation teilen möchten, muss die gemeinsame Nutzung von Ressourcen über das Verwaltungskonto Ihrer Organisation aktiviert werden. Weitere Informationen finden Sie unter [Ressourcenfreigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.

**Erstellen Sie eine Zugriffsverweigerungsrichtlinie wie folgt:**

1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Wählen Sie im Navigationsbereich **Knotenzugriff verwalten** aus.

1. Wählen Sie auf der Registerkarte **Genehmigungsrichtlinien** die Option **Richtlinie zur Zugriffsverweigerung erstellen** aus.

1. Geben Sie Ihre Richtlinienanweisung für die Richtlinie zur Zugriffsverweigerung im Abschnitt **Richtlinienanweisung** ein. Sie können die bereitgestellten **Beispielanweisungen** als Hilfe bei der Erstellung Ihrer Richtlinie verwenden.

1. Wählen Sie **Richtlinie zur Zugriffsverweigerung erstellen** aus.