为即时节点访问创建拒绝访问策略
拒绝访问策略使用 Cedar 策略语言来定义用户未经手动审批时无法自动连接的节点。拒绝访问策略包含多个指定 principal
和 resource
的 forbid
语句。每份语句都包含一个 when
子句,定义了明确拒绝自动审批的条件。
下面是一个拒绝访问策略。
forbid (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
以下过程说明了如何创建即时节点访问的拒绝访问策略。有关如何构造策略语句的信息,请参阅自动审批和拒绝访问策略的语句结构和内置运算符。
注意
请注意以下信息。
-
您可以通过登录 Amazon 管理账户或委派管理员账户来创建拒绝访问策略。您的 Amazon Organizations 组织只能有一个拒绝访问策略。
-
即时节点访问功能使用 Amazon Resource Access Manager(Amazon RAM)与组织中的成员账户共享拒绝访问策略。如果您想与组织中的成员账户共享拒绝访问策略,则必须使用组织的管理账户启用资源共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许在 Amazon Organizations 内共享资源。
创建拒绝访问策略
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
在导航窗格中选择管理节点访问。
-
在审批策略选项卡中,选择创建拒绝访问策略。
-
在策略语句部分输入拒绝访问策略的策略语句。您可以使用提供的示例语句来帮助您创建策略。
-
选择创建拒绝访问策略。