Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi

Le politiche di approvazione automatica utilizzano il linguaggio delle policy Cedar per definire quali utenti possono connettersi automaticamente ai nodi specificati senza approvazione manuale. Un criterio di approvazione automatica contiene più permit dichiarazioni che specificano la principal e. resource Ogni dichiarazione include una when clausola che definisce le condizioni per l'approvazione automatica.

Di seguito è riportato un esempio di politica di approvazione automatica.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

La procedura seguente descrive come creare una politica di approvazione automatica per l'accesso ai just-in-time nodi. La durata di accesso per una richiesta di accesso approvata automaticamente è di 1 ora. Questo valore non può essere modificato. Puoi avere solo una politica di approvazione automatica per Account AWS volta. Regione AWS Per ulteriori informazioni su come costruire dichiarazioni politiche, vedere. Struttura delle dichiarazioni e operatori integrati per l'approvazione automatica e le politiche di negazione dell'accesso

Per creare una politica di approvazione automatica

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Seleziona Gestisci l'accesso ai nodi nel riquadro di navigazione.

  3. Nella scheda Criteri di approvazione, seleziona Crea un criterio di approvazione automatica.

  4. Inserisci la tua dichiarazione sulla politica per la politica di approvazione automatica nella sezione Dichiarazione politica. Puoi utilizzare le dichiarazioni di esempio fornite per aiutarti a creare la tua politica.

  5. Seleziona Crea politica di approvazione automatica.