• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea una policy di negazione dell'accesso per l'accesso ai nodi just-in-time
<a name="systems-manager-just-in-time-node-access-create-deny-access-policies"></a>

Deny-access le politiche utilizzano il linguaggio di policy Cedar per definire a quali nodi gli utenti non possono connettersi automaticamente senza l'approvazione manuale. Una policy di negazione dell'accesso contiene molteplici istruzioni di `forbid`, che specificano il `principal` e la `resource`. Ogni istruzione include una clausola `when`, che definisce le condizioni per l'approvazione automatica del diniego.

Di seguito è riportato un esempio di policy di negazione dell'accesso.

```
forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```

Le procedure seguenti descrivono come creare una policy di negazione dell'accesso per l'accesso ai nodi just-in-time. Per maggiori informazioni su come creare le istruzioni della policy, consulta [Struttura dell'istruzione e operatori integrati per le policy di approvazione automatica e di negazione dell'accesso](auto-approval-deny-access-policy-statement-structure.md).

**Nota**  
Osservare le seguenti informazioni.  
È possibile creare policy di negazione dell'accesso, mentre si è connessi all'account di gestione AWS o a quello dell'amministratore delegato. È possibile avere una sola policy di negazione dell'accesso per organizzazione AWS Organizations .
Just-in-time node access utilizza AWS Resource Access Manager (AWS RAM) per condividere la politica di negazione dell'accesso con gli account dei membri dell'organizzazione. Se desideri condividere la policy di negazione dell'accesso con gli account membri dell'organizzazione, devi abilitare la condivisione delle risorse dall'account di gestione della tua organizzazione. Per ulteriori informazioni, consulta [Abilitare la condivisione delle risorse con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l'utente di AWS RAM *.

**Per creare una policy di negazione dell'accesso**

1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Seleziona **Gestisci l'accesso al nodo** nel riquadro di navigazione.

1. Nella scheda **Policy di approvazione**, seleziona **Crea una policy di negazione dell'accesso**.

1. Inserisci l'istruzione per la policy di negazione dell'accesso nella sezione **Istruzione per la policy**. Puoi utilizzare le **istruzioni di esempio** fornite per creare la tua policy.

1. Seleziona **Crea policy di negazione dell'accesso**.