View a markdown version of this page

Crea una policy di negazione dell'accesso per l'accesso ai nodi just-in-time - AWS Systems Manager

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una policy di negazione dell'accesso per l'accesso ai nodi just-in-time

Deny-access le politiche utilizzano il linguaggio di policy Cedar per definire a quali nodi gli utenti non possono connettersi automaticamente senza l'approvazione manuale. Una policy di negazione dell'accesso contiene molteplici istruzioni di forbid, che specificano il principal e la resource. Ogni istruzione include una clausola when, che definisce le condizioni per l'approvazione automatica del diniego.

Di seguito è riportato un esempio di policy di negazione dell'accesso.

forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

Le procedure seguenti descrivono come creare una policy di negazione dell'accesso per l'accesso ai nodi just-in-time. Per maggiori informazioni su come creare le istruzioni della policy, consulta Struttura dell'istruzione e operatori integrati per le policy di approvazione automatica e di negazione dell'accesso.

Nota

Osservare le seguenti informazioni.

  • È possibile creare policy di negazione dell'accesso, mentre si è connessi all'account di gestione AWS o a quello dell'amministratore delegato. È possibile avere una sola policy di negazione dell'accesso per organizzazione AWS Organizations .

  • Just-in-time node access utilizza AWS Resource Access Manager (AWS RAM) per condividere la politica di negazione dell'accesso con gli account dei membri dell'organizzazione. Se desideri condividere la policy di negazione dell'accesso con gli account membri dell'organizzazione, devi abilitare la condivisione delle risorse dall'account di gestione della tua organizzazione. Per ulteriori informazioni, consulta Abilitare la condivisione delle risorse con AWS Organizations nella Guida per l'utente di AWS RAM .

Per creare una policy di negazione dell'accesso

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Seleziona Gestisci l'accesso al nodo nel riquadro di navigazione.

  3. Nella scheda Policy di approvazione, seleziona Crea una policy di negazione dell'accesso.

  4. Inserisci l'istruzione per la policy di negazione dell'accesso nella sezione Istruzione per la policy. Puoi utilizzare le istruzioni di esempio fornite per creare la tua policy.

  5. Seleziona Crea policy di negazione dell'accesso.