Création d'une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds - AWS Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds

Les politiques d’approbation automatique utilisent le langage de politique Cedar pour définir quels utilisateurs peuvent se connecter automatiquement aux nœuds spécifiés sans approbation manuelle. Une politique d’approbation automatique contient plusieurs déclarations permit spécifiant le principal et la resource. Chaque déclaration inclut une clause when définissant les conditions d’approbation automatique.

Voici un exemple de politique d’approbation automatique.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

La procédure suivante explique comment créer une politique d'approbation automatique pour l' just-in-timeaccès aux nœuds. La durée d’accès pour une demande d’accès approuvée automatiquement est de 1 heure. Cette valeur ne peut pas être modifiée. Vous ne pouvez avoir qu'une seule politique d'approbation automatique par Compte AWS et Région AWS. Pour plus d’informations sur l’élaboration de déclarations de politique, consultez Structure de déclaration et opérateurs intégrés pour les politiques d’approbation automatique et de refus d’accès.

Créer une politique d’approbation automatique

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Sélectionnez Gérer l’accès aux nœuds dans le volet de navigation.

  3. Dans l’onglet Politiques d’approbation, sélectionnez Créer une politique d’approbation automatique.

  4. Saisissez votre déclaration de politique pour la politique d’approbation automatique dans la section Déclaration de politique. Vous pouvez utiliser les exemples de déclarations fournis pour vous aider à créer votre politique.

  5. Sélectionnez Créer une politique d’approbation automatique.