Identifier votre cas d'utilisation Configurer votre environnement de développement.Élaborer le contenu de la politique d’approbation

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer des politiques d’approbation pour l’accès aux nœuds en flux tendu avec Amazon Q

L’utilisation d’Amazon Q Developer pour la ligne de commande fournit des conseils et une assistance sur les différents aspects du développement logiciel. Pour accéder aux nœuds en flux tendu, Amazon Q vous aide à créer des politiques d’approbation en générant et en mettant à jour le code des politiques, en analysant les déclarations de politique, etc. Les informations suivantes décrivent comment créer des politiques d’approbation à l’aide d’Amazon Q pour la ligne de commande.

Identifier votre cas d'utilisation

La première étape de la création de politiques d’approbation consiste à définir clairement votre cas d’utilisation. Par exemple, dans votre organisation, vous souhaiterez peut-être approuver automatiquement les demandes d’accès aux nœuds dotés d’une balise Environment:Testing. Vous pouvez également refuser explicitement les approbations automatiques aux nœuds dotés d’une balise Environment:Production si l’ID d’un employé commence par TEMP. Pour les nœuds dotés d’une balise Tier:Database, vous pouvez avoir besoin de deux niveaux d’approbations manuelles.

Dans un scénario donné, vous pourriez préférer une politique ou une condition à une autre. Nous vous recommandons donc de définir clairement les comportements de politique à adopter afin de déterminer les déclarations les mieux adaptées à votre cas d’utilisation et à vos préférences.

Configurer votre environnement de développement.

Installez Amazon Q pour la ligne de commande où vous souhaitez développer vos politiques d’approbation. Pour plus d’informations sur l’installation d’Amazon Q pour ligne de commande, consultez la section Installer Amazon Q pour la ligne de commande dans le Guide de l’utilisateur Amazon Q Developer.

Nous vous recommandons également d'installer le serveur MCP pour la AWS documentation. Ce serveur MCP connecte Amazon Q pour ligne de commande aux ressources de documentation les plus récentes. Pour plus d’informations sur l’utilisation de MCP avec Amazon Q pour ligne de commande, consultez la section Utiliser MCP avec Amazon Q Developer dans le Guide de l’utilisateur Amazon Q.

Pour plus d'informations sur le serveur de AWS documentation MCP, consultez la section Serveur de AWS documentation MCP.

Installez et configurez le AWS CLI, si ce n'est pas déjà fait. Pour plus d'informations, voir Installation ou mise à jour de la dernière version du AWS CLI.

Élaborer le contenu de la politique d’approbation

Une fois votre cas d’utilisation identifié et votre environnement configuré, vous pouvez développer le contenu de vos politiques. Votre cas d’utilisation et vos préférences dicteront en grande partie les types de politiques d’approbation et de déclarations à utiliser.

Si vous ne savez pas comment utiliser une politique particulière ou si vous avez besoin de plus d’informations sur le schéma d’une stratégie, consultez Créer des politiques d’approbation pour vos nœuds et les rubriques suivantes. Ces rubriques expliquent en détail comment les politiques sont évaluées, et fournissent des exemples pratiques de déclarations.

La procédure suivante décrit comment créer des politiques d’approbation avec Amazon Q pour ligne de commande.

Note

Amazon Q Developer utilise l’IA générative. Vous devrez peut-être vérifier les réponses. Consultez la politique AWS en matière d’IA responsable.

Pour créer une politique d’approbation à l’aide d’Amazon Q pour ligne de commande

Ouvrez votre terminal et démarrez une session avec Amazon Q.
```
$ q chat
```

Saisissez une invite et décrivez le type de déclaration de politique que vous souhaitez créer. Par exemple, en utilisant le scénario précédent pour une politique d’approbation, vous pourriez saisir l’invite suivante :

Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource 
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.

La saisie de cet exemple d’invite produit le résultat suivant :

Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy 
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
                            
Here's the Cedar policy statement:

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") &&
    resource.getTag("Environment") == "Testing"
};


This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators

The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.

Collez la déclaration de politique dans un nouveau fichier Cedar pour valider sa syntaxe. Vous pouvez également valider la déclaration en utilisant le terrain de jeu Cedar.
Après avoir validé la déclaration, enregistrez le fichier Cedar.
Depuis votre terminal, exécutez la AWS CLI commande suivante pour créer un document SSM en utilisant le contenu de votre politique. Avant d'utiliser des politiques d'approbation dans un environnement de production, testez vos politiques d'approbation avec un sous-ensemble d'identités et de nœuds dans un Compte AWS et Région AWS.

Note
Pour une politique d’approbation automatique, le nom du document doit être SSM-JustInTimeAccessAutoApprovalPolicy. Il ne peut y avoir qu'une seule politique d'approbation automatique par Compte AWS et Région AWS. Pour une politique de refus d’accès, le nom du document doit être SSM-JustInTimeAccessDenyAccessOrgPolicy. Il ne peut y avoir qu'une seule politique de refus d'accès par AWS Organizations organisation, et la politique doit être créée dans le compte d'administrateur délégué de Systems Manager. Les contraintes de dénomination pour les politiques d’approbation manuelle sont les mêmes que celles des autres documents SSM. Pour de plus amples informations, veuillez consulter CreateDocument.
Linux & macOS
```
aws ssm create-document \
    --content file://path/to/file/policyContent.cedar \
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" \
    --document-type "AutoApproval"
```
Windows
```
aws ssm create-document ^
    --content file://C:\path\to\file\policyContent.cedar ^
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
    --document-type "AutoApproval"
```
PowerShell
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
    -Content $cedar `
    -Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
    -DocumentType "AutoApproval" 
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Créez une politique de refus d'accès pour l'accès aux nœuds juste à temps

Mettre à jour les préférences de session d’accès aux nœuds en flux tendu