Criar uma política de aprovação automática para acesso a nós just-in-time

As políticas de aprovação automática usam a linguagem de política Cedar para definir quais usuários podem se conectar automaticamente aos nós especificados sem aprovação manual. Uma política de aprovação automática contém várias declarações permit especificando a principal e o resource. Cada instrução inclui uma cláusula when que define as condições para a aprovação automática.

Confira abaixo um exemplo de política de aprovação automática.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

O procedimento a seguir descreve como criar uma política de aprovação automática para acesso a nós just-in-time. A duração do acesso para uma solicitação de acesso aprovada automaticamente é de uma hora. Esse valor não pode ser alterado. Você só pode ter uma política de aprovação automática por Conta da AWS e Região da AWS. Para obter informações sobre como criar instruções de política, consulte Estrutura de instruções e operadores integrados para políticas de aprovação automática e negação de acesso.