为节点创建审批策略
审批策略定义了用户访问节点所需的批准。由于即时节点访问无需通过 IAM 策略获得节点的长期权限,因此您必须创建审批策略来允许访问您的节点。如果没有适用于节点的审批策略,则用户将无法请求访问该节点。
在即时节点访问中,有三种类型的策略。策略类型包括自动审批、拒绝访问和手动审批。
即时节点访问策略类型
-
自动审批策略定义了用户可以自动连接到哪些节点。
-
手动审批策略定义了访问您指定的节点时必须提供的手动审批的数量和级别。
-
拒绝访问策略明确禁止对您指定节点的访问请求的自动审批。
拒绝访问策略适用于 Amazon Organizations 组织中的所有账户。例如,您可以明确拒绝 Intern
组对使用 Production
键标记的节点的自动审批。自动审批和手动审批策略仅适用于其创建所在的 Amazon Web Services 账户和 Amazon Web Services 区域。组织中的每个成员账户都管理自己的审批策略。审批策略按以下顺序评估:
-
拒绝访问
-
自动审批
-
手动
虽然每个组织只能有一个拒绝访问策略,且每个账户和地区只能有一个自动审批策略,但一个账户中可能有多个手动审批策略。在评估手动审批策略时,即时节点访问始终偏向于针对节点的更具体的策略。手动审批策略按以下顺序评估:
-
特定标签的目标
-
所有节点目标
例如,您有一个使用 Demo
键标记的节点。在同一个账户中,您有一个针对所有节点的手动审批策略,并且需要从一个级别获得一次审批。您还有一个手动审批策略,对于使用 Demo
键标记的节点,需要从两个级别获得两次审批。Systems Manager 会将针对 Demo
标签的策略应用于节点,因为该策略比针对所有节点的策略更为具体。因此您可以为账户中的所有节点创建通用策略,确保用户可以提交访问请求,同时使您能够根据需要创建更精细的策略。
根据您的组织,可能有多个标签应用于您的节点。在这种情况下,如果多个手动审批策略应用于一个节点,则访问请求将失败。例如,节点使用 Production
和 Database
键进行标记。在同一个账户中,有一个适用于使用 Production
键标记的节点的手动审批策略,以及另一个适用于使用 Database
键标记的节点的手动审批策略。这会导致使用两个键标记的节点发生冲突,因此访问请求会失败。Systems Manager 会将用户重定向到失败的请求。用户可以在此处可以查看有关冲突策略和标签的详细信息,以便在拥有所需权限时可以进行必要的调整。如果没有必要的权限,可以通知组织中具有必要权限的同事修改策略。导致访问请求失败的策略冲突会触发 EventBridge 事件,这有助于您灵活地构建自己的响应工作流程。此外,对于导致访问请求失败的策略冲突,Systems Manager 会向您指定的收件人发送电子邮件通知。有关为策略冲突配置电子邮件通知的更多信息,请参阅为即时访问请求配置通知。
在拒绝访问策略中,您可以使用 Cedar 策略语言来定义用户在组织中明确无法自动连接到的节点。此策略是通过组织委派的管理员账户创建和共享的。拒绝访问策略取代所有自动审批策略。您在每个组织只能有一个拒绝访问策略。
在自动审批策略中,您可以使用 Cedar 策略语言来定义哪些用户无需手动审批即可自动连接到指定节点。自动审批批准的访问请求的访问持续时间为 1 小时。此值不能更改。您在每个账户和区域只能有一个自动审批策略。
在手动审批策略中,您可以指定访问持续时间、需要多少级别的批准、每个级别所需的审批者数量以及他们可以批准即时访问请求的节点。手动审批策略的访问持续时间必须介于 1 到 336 小时之间。如果您指定多个批准级别,则访问请求的批准将一次处理一个级别。这意味着必须在您对一个级别要求的所有批准都提供后,批准流程才能进入后续级别。如果您在手动审批策略中指定多个标签,则这些标签将作为 or
语句而不是 and
语句进行评估。例如,如果您创建包含标签 Application
、Web
和 Test
的手动审批策略,则该策略将应用于使用其中一个键标记的任何节点。该策略不仅适用于使用全部三个键标记的节点。
我们建议您使用手动策略与自动审批策略的组合来帮助您保护包含更多关键数据的节点,同时允许用户无需干预即可连接到不太重要的节点。例如,您可以要求手动审批对数据库节点的访问请求,以及自动审批非持久性表示层节点的会话。
以下过程介绍如何创建即时节点访问的审批策略。