View a markdown version of this page

Crea policy di approvazione per l'accesso ai nodi just-in-time con Amazon Q - AWS Systems Manager
Identificazione del caso d'usoConfigurazione dell'ambiente di sviluppoSviluppa il contenuto della policy di approvazione

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea policy di approvazione per l'accesso ai nodi just-in-time con Amazon Q

L'uso di Amazon Q Developer per la riga di comando fornisce indicazioni e supporto su vari aspetti dello sviluppo del software. Per un accesso ai nodi just-in-time, Amazon Q ti aiuta a creare policy di approvazione generando e aggiornando il relativo codice, analizzando le istruzioni delle policy e altro ancora. Le seguenti informazioni descrivono come creare policy di approvazione utilizzando Amazon Q per la riga di comando.

Identificazione del caso d'uso

Il primo passaggio nella creazione delle policy di approvazione consiste nella definizione chiara del caso d'uso. Ad esempio, nella tua organizzazione potresti voler approvare automaticamente le richieste di accesso ai nodi con un tag Environment:Testing. Potresti anche voler negare esplicitamente le approvazioni automatiche ai nodi con un tag Environment:Production , se l'ID di un dipendente inizia con TEMP. Per i nodi con un tag Tier:Database, potresti voler richiedere due livelli di approvazioni manuali.

In un determinato scenario, si potrebbe preferire una policy o una condizione piuttosto che un'altra. Pertanto, si consiglia di definire in modo chiaro i comportamenti della policy e le istruzioni più adatte al tuo caso d'uso e alle tue preferenze.

Configurazione dell'ambiente di sviluppo

Installa Amazon Q per la riga di comando dove desideri sviluppare le tue policy di approvazione. Per informazioni sull'installazione di Amazon Q per la riga di comando, consulta Installazione di Amazon Q per la riga di comando nella Guida per l'utente di Amazon Q Developer.

Si consiglia inoltre di installare il server MCP per la AWS documentazione. Questo server MCP collega Amazon Q per la riga di comando alle risorse di documentazione più recenti. Per informazioni sull'utilizzo di MCP con Amazon Q per la riga di comando, consulta Utilizzare MCP con Amazon Q Developer nella Guida per l'utente di Amazon Q Developer.

Per ulteriori informazioni sul server AWS Documentation MCP, vedete AWS Documentation MCP Server.

Installa e configura il AWS CLI, se non l'hai già fatto. Per informazioni, consulta Installazione o aggiornamento della versione più recente del AWS CLI.

Sviluppa il contenuto della policy di approvazione

Con l'identificazione del caso d'uso e la configurazione dell'ambiente, puoi sviluppare il contenuto per le policy. Il caso d'uso e le preferenze determinano in gran parte il caso d'uso e le istruzioni utilizzate.

Se non sei sai come utilizzare una determinata policy o hai bisogno di ulteriori informazioni sul suo schema, consulta Crea policy di approvazione per i tuoi nodi e gli argomenti successivi. Questi argomenti spiegano in dettaglio come vengono valutate le policy e forniscono istruzioni di esempi funzionanti.

Le seguenti procedure descrivono come creare policy di approvazione utilizzando Amazon Q per la riga di comando.

Nota

Amazon Q Developer utilizza l'IA generativa. Potrebbe essere necessario verificare le risposte. Consulta la Policy sull'IA AWS responsabile.

Per creare una policy di approvazione utilizzando Amazon Q per la riga di comando

  1. Apri il tuo terminale e avvia una sessione con Amazon Q.

    $ q chat

  2. Inserisci un prompt e descrivi il tipo di istruzione di policy che desideri creare. Ad esempio, utilizzando lo scenario precedente per una policy di approvazione, è possibile inserire il seguente prompt:

    Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource 
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.

  3. L'immissione di questo prompt di esempio ha prodotto il seguente risultato:

    Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy 
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
                            
Here's the Cedar policy statement:

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") &&
    resource.getTag("Environment") == "Testing"
};


This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators

The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.

  4. Per convalidare la sintassi, incolla l'istruzione della policy in un nuovo file Cedar. Puoi anche convalidare l'istruzione utilizzando lo spazio di sviluppo Cedar.

  5. Dopo aver convalidato l'istruzione, salva il file Cedar.

  6. Dal tuo terminale, esegui il seguente AWS CLI comando per creare un documento SSM utilizzando il contenuto della tua policy. Prima di utilizzare le politiche di approvazione in un ambiente di produzione, testate le politiche di approvazione con un sottoinsieme di identità e nodi in un unico file. Account AWS Regione AWS

    Nota

    Per una policy di approvazione automatica, il nome del documento deve essere SSM-JustInTimeAccessAutoApprovalPolicy. È possibile applicare una sola politica di approvazione automatica per Account AWS volta. Regione AWS Per una policy di negazione dell'accesso, il nome del documento deve essere SSM-JustInTimeAccessDenyAccessOrgPolicy. È possibile applicare un solo criterio di negazione dell'accesso per AWS Organizations organizzazione e il criterio deve essere creato nell'account amministratore delegato per Systems Manager. I vincoli di denominazione per le policy di approvazione manuale sono gli stessi degli altri documenti SSM. Per ulteriori informazioni, consulta CreateDocument.

    Linux & macOS
    aws ssm create-document \
    --content file://path/to/file/policyContent.cedar \
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" \
    --document-type "AutoApproval"
    Windows 
    aws ssm create-document ^
    --content file://C:\path\to\file\policyContent.cedar ^
    --name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
    --document-type "AutoApproval"
    PowerShell 
    $cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
    -Content $cedar `
    -Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
    -DocumentType "AutoApproval"