Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi - AWS Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi

In una policy di approvazione automatica, si utilizza il linguaggio di policy Cedar, per definire quali utenti possono connettersi automaticamente ai nodi specificati senza l'approvazione manuale. Una policy di approvazione automatica contiene molteplici istruzioni di permit, che specificano il principal e la resource. Ogni istruzione include una clausola when, che definisce le condizioni per l'approvazione automatica.

Di seguito è riportato un esempio di policy di approvazione automatica.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

La procedura seguente descrive come creare una politica di approvazione automatica per l'accesso ai just-in-time nodi. La durata di accesso per una richiesta di accesso approvata automaticamente è di un'ora. Questo valore non può essere modificato. Puoi avere solo una politica di approvazione automatica per Account AWS volta. Regione AWS Per maggiori informazioni su come creare le istruzioni della policy, consulta Struttura dell'istruzione e operatori integrati per le policy di approvazione automatica e di diniego dell'accesso.

Per creare una policy di approvazione automatica

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Seleziona Gestisci l'accesso al nodo nel riquadro di navigazione.

  3. Nella scheda Policy di approvazione, seleziona Crea una policy di approvazione automatica.

  4. Inserisci la tua istruzione della policy per quella con l'approvazione automatica nella sezione Istruzione per la policy. Puoi utilizzare le istruzioni di esempio fornite per creare la tua policy.

  5. Seleziona Crea policy di approvazione automatica.