View a markdown version of this page

Créez une politique de refus d'accès pour l'accès aux nœuds juste à temps - AWS Systems Manager

• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une politique de refus d'accès pour l'accès aux nœuds juste à temps

Deny-access les politiques utilisent le langage de politique Cedar pour définir les nœuds auxquels les utilisateurs ne peuvent pas se connecter automatiquement sans approbation manuelle. Une politique de refus d’accès contient plusieurs instructions forbid spécifiant le principal et la resource. Chaque déclaration inclut une clause when définissant les conditions du refus explicite de l’approbation automatique.

Voici un exemple de stratégie de refus d’accès :

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

La procédure suivante décrit la création d’une politique de refus d’accès pour l’accès aux nœuds en flux tendu. Pour plus d’informations sur l’élaboration d’une stratégie de cycle de vie, consultez Structure de déclaration et opérateurs intégrés pour les politiques d’approbation automatique et de refus d’accès.

Note

Notez les informations suivantes.

  • Vous pouvez créer des politiques de refus d’accès lorsque vous êtes connecté au compte de gestion AWS ou au compte administrateur délégué. Votre organisation AWS Organizations ne peut avoir qu’une seule politique de refus d’accès.

  • Just-in-time node access uses AWS Resource Access Manager (AWS RAM) pour partager votre politique de refus d'accès avec les comptes membres de votre organisation. Si vous souhaitez partager votre politique de refus d’accès avec les comptes membres de votre organisation, le partage des ressources doit être activé depuis le compte de gestion de votre organisation. Pour de plus amples informations, veuillez consulter Activer le partage de ressources dans AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Créer une politique de refus d’accès

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Sélectionnez Gérer l’accès aux nœuds dans le volet de navigation.

  3. Dans l’onglet Politiques d’approbation, sélectionnez Créer une politique de refus d’accès.

  4. Entrez votre déclaration de politique pour la politique de refus d’accès dans la section Déclaration de politique. Vous pouvez utiliser les exemples de déclarations fournis pour vous aider à créer votre politique.

  5. Sélectionnez Créer une politique de refus d’accès.