为即时节点访问创建拒绝访问策略 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为即时节点访问创建拒绝访问策略

拒绝访问策略使用 Cedar 策略语言来定义用户未经手动审批时无法自动连接的节点。拒绝访问策略包含多个指定 principalresourceforbid 语句。每份语句都包含一个 when 子句,定义了明确拒绝自动审批的条件。

下面是一个拒绝访问策略。

forbid ( principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE", action == AWS::SSM::Action::"getTokenForInstanceAccess", resource ) when { resource.hasTag("Environment") && resource.getTag("Environment") == "Production" }; forbid ( principal, action == AWS::SSM::Action::"getTokenForInstanceAccess", resource ) when { principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial" }; forbid ( principal, action == AWS::SSM::Action::"getTokenForInstanceAccess", resource ) when { principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High" };

以下过程说明了如何创建即时节点访问的拒绝访问策略。有关如何构造策略语句的信息,请参阅自动审批和拒绝访问策略的语句结构和内置运算符

注意

请注意以下信息。

  • 您可以通过登录 Amazon 管理账户或委派管理员账户来创建拒绝访问策略。您的 Amazon Organizations 组织只能有一个拒绝访问策略。

  • 即时节点访问功能使用 Amazon Resource Access Manager(Amazon RAM)与组织中的成员账户共享拒绝访问策略。如果您想与组织中的成员账户共享拒绝访问策略,则必须使用组织的管理账户启用资源共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许在 Amazon Organizations 内共享资源

创建拒绝访问策略
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中选择管理节点访问

  3. 审批策略选项卡中,选择创建拒绝访问策略

  4. 策略语句部分输入拒绝访问策略的策略语句。您可以使用提供的示例语句来帮助您创建策略。

  5. 选择创建拒绝访问策略