为即时节点访问创建拒绝访问策略

拒绝访问策略使用 Cedar 策略语言来定义用户未经手动审批时无法自动连接的节点。拒绝访问策略包含多个指定 principal 和 resource 的 forbid 语句。每份语句都包含一个 when 子句，定义了明确拒绝自动审批的条件。

下面是一个拒绝访问策略。


forbid (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};

forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};


forbid (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    
    principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};

以下过程说明了如何创建即时节点访问的拒绝访问策略。有关如何构造策略语句的信息，请参阅自动审批和拒绝访问策略的语句结构和内置运算符。

注意

请注意以下信息。

您可以通过登录 Amazon 管理账户或委派管理员账户来创建拒绝访问策略。您的 Amazon Organizations 组织只能有一个拒绝访问策略。
即时节点访问功能使用 Amazon Resource Access Manager（Amazon RAM）与组织中的成员账户共享拒绝访问策略。如果您想与组织中的成员账户共享拒绝访问策略，则必须使用组织的管理账户启用资源共享。有关更多信息，请参阅《Amazon RAM 用户指南》中的允许在 Amazon Organizations 内共享资源。

创建拒绝访问策略

访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
在导航窗格中选择管理节点访问。
在审批策略选项卡中，选择创建拒绝访问策略。
在策略语句部分输入拒绝访问策略的策略语句。您可以使用提供的示例语句来帮助您创建策略。
选择创建拒绝访问策略。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

为即时节点访问创建自动审批策略

使用 Amazon Q 为即时节点访问创建审批策略