ジャストインタイムノードアクセスの自動承認ポリシーを作成する
自動承認ポリシーでは、Cedar ポリシー言語を使用して、どのユーザーが指定されたノードに手動承認なしで自動的に接続できるかを定義します。自動承認ポリシーには、principal と resource を指定する permit ステートメントがいくつか含まれています。各ステートメントには、自動承認の条件を定義する when 句があります。
次に、自動承認ポリシーの例を示します。
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};以下の手順では、ジャストインタイムノードアクセス用に自動承認ポリシーを作成する方法について説明します。自動的に承認されるアクセスリクエストのアクセス期間は 1 時間です。この値は変更できません。AWS アカウントと AWS リージョンごとに自動承認ポリシーを 1 つのみ設定できます。ポリシーステートメントを作成する方法の詳細については、「自動承認ポリシーとアクセス拒否ポリシーのステートメントの構造とビルトイン演算子」を参照してください。
自動承認ポリシーを作成するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 -
ナビゲーションペインで、[ノードアクセスを管理] を選択します。
-
[承認ポリシー] タブで、[自動承認ポリシーを作成] を選択します。
-
[ポリシーステートメント] セクションに自動承認ポリシー用のポリシーステートメントを入力します。あらかじめ用意されている [サンプルステートメント] を使用すると、ポリシーを簡単に作成できます。
-
[自動承認ポリシーを作成] を選択します。
