建立just-in-time節點存取的自動核准政策 - AWS Systems Manager

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立just-in-time節點存取的自動核准政策

自動核准政策使用 Cedar 政策語言來定義哪些使用者可以在沒有手動核准的情況下,自動連線至指定節點。自動核准政策包含多個指定 principalresourcepermit 陳述式。每個陳述式都包含一個定義自動核准條件的 when 子句。

自動核准政策範例如下所示:

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

下列程序說明如何為即時節點存取建立自動核准政策。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個 AWS 帳戶 和 只能有一個自動核准政策 AWS 區域。如需有關如何建構政策陳述式的詳細資訊,請參閱用於自動核准和拒絕存取政策的聲明結構和內建運算子

建立自動核准政策

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選取管理節點存取

  3. 核准政策索引標籤中,選取建立自動核准政策

  4. 政策陳述式區段中輸入自動核准政策的政策陳述式。您可以使用提供的範例陳述式來協助您建立政策。

  5. 選取建立自動核准政策