

• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Cómo crear una política de denegación sobre el acceso a los nodos justo a tiempo
<a name="systems-manager-just-in-time-node-access-create-deny-access-policies"></a>

Las políticas de denegación de acceso utilizan el lenguaje de políticas Cedar para definir a qué nodos no se pueden conectar automáticamente los usuarios sin una aprobación manual. Una política de denegación de acceso contiene varias instrucciones `forbid` que especifican la `principal` y el `resource`. Cada instrucción incluye una cláusula `when` que define las condiciones para denegar explícitamente la aprobación automática.

A continuación, se muestra un ejemplo de política de denegación de acceso.

```
forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```

En el siguiente procedimiento, se describe cómo crear una política de denegación de acceso sobre los nodos justo a tiempo. Para obtener más información acerca de cómo crear instrucciones de políticas, consulte [Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso](auto-approval-deny-access-policy-statement-structure.md).

**nota**  
Observe la siguiente información.  
Puede crear políticas de denegación de acceso mientras está conectado a la cuenta de administración de AWS o a la cuenta de administrador delegado. La organización de AWS Organizations solo puede tener una política de denegación de acceso.
El acceso a los nodos justo a tiempo utiliza AWS Resource Access Manager (AWS RAM) para compartir su política de denegación de acceso con las cuentas de miembro de su organización. Si desea compartir su política de denegación de acceso con las cuentas de miembro de su organización, debe habilitar el uso compartido de recursos desde la cuenta de administración de su organización. Para obtener más información, consulte [Habilitar el uso compartido de recursos dentro de AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM*.

**Cómo crear una política de denegación de acceso**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, seleccione **Administrar acceso a nodos**.

1. En la pestaña **Políticas de aprobación**, seleccione **Crear política de denegación de acceso**.

1. Introduzca su instrucción para la política de denegación de acceso en la sección **Instrucción de la política**. Puede usar las **Instrucciones de ejemplo** proporcionadas que le ayudarán a crear la política.

1. Seleccione **Crear política de denegación de acceso**.