為您的節點建立核准政策

核准政策定義使用者存取節點所需的核准。由於即時節點存取不需要透過 IAM 政策對節點提供長期許可，因此您必須建立核准政策，以允許對節點的存取權。如果節點沒有套用任何核准政策，使用者就無法請求存取該節點。

在即時節點存取中，有三種政策類型。這三種政策類型分別為自動核准、拒絕存取和手動核准。

拒絕存取政策適用於 AWS Organizations 組織中的所有帳戶。例如，您可以明確拒絕自動核准 Intern 群組對 Production 鍵標記之節點的存取。自動核准和手動核准政策僅適用於建立它們 AWS 區域 的 AWS 帳戶 和 。組織中的每個成員帳戶負責管理自己的核准政策。核准政策的評估順序如下：

每個組織只能有一個拒絕存取政策，每個帳戶和區域只能有一個自動核准政策，但在一個帳戶中可以有數個手動核准政策。評估手動核准政策時，即時節點存取一律優先節點上套用的更具體的政策。手動核准政策的評估順序如下：

例如，您有一個以 Demo 鍵標記的節點。在同一帳戶中，您有一個以所有節點為目標的手動核准政策，該政策需要一個層級的一個核准。您還有一個針對以 Demo 鍵標記的節點的手動核准政策，該政策需要兩個層級的兩個核准。Systems Manager 會將以 Demo 標籤為目標的政策套用至該節點，因為它比以所有節點為目標的政策更為具體。這可讓您為帳戶中的所有節點建立一般政策，確保使用者可以提交存取請求，同時讓您能夠視需要建立更精細的政策。

根據您的組織，可能有多個標籤套用至您的節點。在此案例中，如果多個手動核准政策套用至一個節點，存取請求會失敗。例如，節點同時標記了 Production 和 Database 鍵。在同一帳戶中，如果您有一個手動核准政策套用至以 Production 鍵標記的節點，以及另一個手動核准政策套用至以 Database 鍵標記的節點。這會導致以兩個鍵標記的節點發生衝突，造成存取請求失敗。Systems Manager 會將使用者重新導向至失敗的請求。在失敗請求中，使用者可以檢視有關衝突政策和標籤的詳細資訊，以便在他們進行必要的調整 (如果他們擁有所需許可)。如果他們沒有所需許可，他們可以通知組織中具有修改政策所需許可的同事。導致存取請求失敗的政策衝突會發出 EventBridge 事件，以便您靈活地建置自己的回應工作流程。此外，Systems Manager 會將政策衝突導致存取請求失敗的通知透過電子郵件傳送給您指定的收件人。如需有關設定政策衝突電子郵件通知的詳細資訊，請參閱設定即時存取請求的通知。

在拒絕存取政策中，您可以使用 Cedar 政策語言來定義使用者明確無法自動連線到組織中哪些節點。此政策是從組織的委派管理員帳戶建立和共用。拒絕存取政策會取代所有自動核准政策。每個組織只能有一個拒絕存取政策。

在自動核准政策中，您可以使用 Cedar 政策語言來定義哪些使用者可以自動連線到指定的節點，而無需手動核准。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個帳戶和區域只能有一個自動核准政策。

在手動核准政策中，您可以指定存取持續時間、需要多少層級的核准、每個層級所需的核准者數目，以及他們可以核准即時存取請求的節點。手動核准政策的存取持續時間必須介於 1 到 336 小時之間。如果您指定多個層級的核准，則存取請求的核准程序一次處理一個層級。這表示您必須先提供某個層級所需的所有核准，核准程序才會繼續到下一層級。如果您在手動核准政策中指定多個標籤，系統會將其評估為 or 陳述式而非 and 陳述式。例如，如果您建立包含標籤 Application、Web 和 Test 的手動核准政策，該政策會套用至任何以其中一個鍵標記的節點。該政策不只是適用於以全部三個鍵標記的節點。

建議您使用手動核准政策與自動核准政策的組合，來協助您保護具有更關鍵資料的節點，同時無需介入便能允許使用者連線至較不關鍵的節點。例如，您可以要求手動核准對資料庫節點的存取請求，自動核准對非持久性表示層節點的存取工作階段。

下列程序說明如何建立即時節點存取的核准政策。