Creación de una política de aprobación automática sobre el acceso a los nodos justo a tiempo

En las políticas de aprobación automática, se utiliza el lenguaje de políticas Cedar para definir qué usuarios pueden conectarse automáticamente a los nodos especificados sin aprobación manual. Una política de aprobación automática contiene varias instrucciones permit que especifican principal y resource. Cada instrucción incluye una cláusula when que define las condiciones de la aprobación automática.

A continuación, se muestra un ejemplo de política de aprobación automática.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

En el siguiente procedimiento, se describe cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo. Si una solicitud de acceso se aprueba automáticamente, la duración del acceso es de 1 hora. Este valor no se puede cambiar. Solo puede tener una política de aprobación automática por Cuenta de AWS y Región de AWS. Para obtener más información acerca de cómo crear instrucciones de políticas, consulte Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso.