

• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Criar uma política de negação de acesso para acesso a nós just-in-time
<a name="systems-manager-just-in-time-node-access-create-deny-access-policies"></a>

As políticas de negação de acesso usam a linguagem de política Cedar para definir a quais nós os usuários não podem se conectar automaticamente sem aprovação manual. Uma política de negação de acesso contém várias instruções `forbid` especificando a `principal` e o `resource`. Cada instrução inclui uma cláusula `when` que define as condições para negar explicitamente a aprovação automática.

Confira abaixo um exemplo de política de negação de acesso.

```
forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```

O procedimento a seguir descreve como criar uma política de negação de acesso para acesso a nós just-in-time. Para obter informações sobre como criar instruções de política, consulte [Estrutura de instruções e operadores integrados para políticas de aprovação automática e negação de acesso](auto-approval-deny-access-policy-statement-structure.md).

**nota**  
Observe as seguintes informações:  
Você poderá criar políticas de negação de acesso enquanto estiver conectado à conta de gerenciamento da AWS ou à conta de administrador delegado. Sua organização do AWS Organizations pode ter apenas uma política de negação de acesso.
O acesso ao nó just-in-time faz uso do AWS Resource Access Manager (AWS RAM) para compartilhar sua política de negação de acesso com as contas de membros na sua organização. Se você quiser compartilhar sua política de negação de acesso com as contas de membros da sua organização, o compartilhamento de recursos deve ser habilitado na conta gerencial da sua organização. Para obter mais informações, consulte [Habilitar o compartilhamento de recursos no AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) no *Guia do usuário do AWS RAM*.

**Para criar uma política de negação de acesso**

1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Selecione **Gerenciar acesso a nós** no painel de navegação.

1. Na guia **Políticas de aprovação**, selecione **Criar uma política de negação de acesso**.

1. Insira sua instrução de política para a política de negação de acesso na seção **Instrução de política**. Você pode usar as **Instruções de exemplo** fornecidas para ajudar a criar sua política.

1. Selecione **Criar política de negação de acesso**.