JIT(Just-in-Time) 노드 액세스에 대한 자동 승인 정책 생성
자동 승인 정책은 Cedar 정책 언어를 사용하여 어떤 사용자가 수동 승인 없이 지정된 노드에 자동으로 연결할 수 있는지 정의합니다. 자동 승인 정책에는 principal 및 resource를 지정하는 여러 permit 문이 포함되어 있습니다. 각 문에는 자동 승인에 대한 조건을 정의하는 when 절이 포함됩니다.
다음은 자동 승인 정책의 예제입니다.
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};다음 절차에서는 JIT(Just-in-Time) 노드 액세스에 대한 자동 승인 정책을 생성하는 방법을 설명합니다. 자동 승인된 액세스 요청의 액세스 기간은 1시간입니다. 이 값은 변경할 수 없습니다. AWS 계정 및 AWS 리전당 1개의 자동 승인 정책만 있을 수 있습니다. 정책 문을 구성하는 방법에 대한 자세한 내용은 자동 승인 및 액세스 거부 정책에 대한 문 구조 및 기본 제공 연산자 섹션을 참조하세요.
자동 승인 정책 생성
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
탐색 창에서 노드 액세스 관리를 선택합니다.
-
승인 정책 탭에서 자동 승인 정책 생성을 선택합니다.
-
정책 문 섹션에 자동 승인 정책에 대한 정책 문을 입력합니다. 제공된 샘플 문을 사용하여 정책을 생성할 수 있습니다.
-
자동 승인 정책 생성을 선택합니다.
