Création d'une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds

Les politiques d'approbation automatique utilisent le langage de politique Cedar pour définir quels utilisateurs peuvent se connecter automatiquement aux nœuds spécifiés sans approbation manuelle. Une politique d'approbation automatique contient plusieurs permit déclarations spécifiant le principal etresource. Chaque déclaration inclut une when clause définissant les conditions d'approbation automatique.

Voici un exemple de politique d'approbation automatique.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

La procédure suivante explique comment créer une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds. La durée d'accès pour une demande d'accès approuvée automatiquement est d'une heure. Cette valeur ne peut pas être modifiée. Vous ne pouvez avoir qu'une seule politique d'approbation automatique par Compte AWS et Région AWS. Pour plus d'informations sur la façon de créer des déclarations de politique, consultezStructure de déclaration et opérateurs intégrés pour les politiques d'approbation automatique et de refus d'accès.

Pour créer une politique d'approbation automatique

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Sélectionnez Gérer l'accès aux nœuds dans le volet de navigation.

  3. Dans l'onglet Politiques d'approbation, sélectionnez Créer une politique d'approbation automatique.

  4. Entrez votre déclaration de politique pour la politique d'approbation automatique dans la section Déclaration de politique. Vous pouvez utiliser les exemples de déclarations fournis pour vous aider à créer votre politique.

  5. Sélectionnez Créer une politique d'approbation automatique.