

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat kebijakan deny-access untuk akses node just-in-time
<a name="systems-manager-just-in-time-node-access-create-deny-access-policies"></a>

Deny-access kebijakan menggunakan bahasa kebijakan Cedar untuk menentukan node mana pengguna tidak dapat terhubung secara otomatis tanpa persetujuan manual. Kebijakan deny-access berisi beberapa `forbid` pernyataan yang menentukan dan. `principal` `resource` Setiap pernyataan menyertakan `when` klausa yang mendefinisikan kondisi untuk secara eksplisit menolak persetujuan otomatis.

Berikut ini adalah contoh kebijakan deny-access.

```
forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```

Prosedur berikut menjelaskan cara membuat kebijakan deny-access untuk akses node just-in-time. Untuk informasi selengkapnya tentang cara membuat pernyataan kebijakan, lihat[Struktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan](auto-approval-deny-access-policy-statement-structure.md).

**catatan**  
Perhatikan informasi berikut.  
Anda dapat membuat kebijakan akses penolakan saat masuk ke akun AWS Manajemen atau akun administrator yang didelegasikan. AWS Organizations Organisasi Anda hanya dapat memiliki satu kebijakan akses penolakan.
Just-in-time akses node menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda. Jika Anda ingin membagikan kebijakan akses penolakan Anda dengan akun anggota di organisasi Anda, pembagian sumber daya harus diaktifkan dari akun manajemen organisasi Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan berbagi sumber daya AWS Organizations di dalam](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) *Panduan AWS RAM Pengguna*.

**Untuk membuat kebijakan akses penolakan**

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Pilih **Kelola akses node** di panel navigasi.

1. Di tab **Kebijakan persetujuan**, pilih **Buat kebijakan akses penolakan**.

1. Masukkan pernyataan kebijakan Anda untuk kebijakan akses penolakan di bagian **Pernyataan kebijakan**. Anda dapat menggunakan **pernyataan Sampel** yang disediakan untuk membantu Anda membuat kebijakan.

1. Pilih **Buat kebijakan akses penolakan**.