• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). # Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso En la siguiente tabla, se muestra la estructura de las políticas de aprobación automática y denegación de acceso. | Componente | Sintaxis | | --- | --- | | effect | `permit \| forbid` | | scope | `(principal, action, resource)` | | cláusula de condición | 
when {
    principal or resource has attribute name             
};
| ## Componentes de política Una política de aprobación automática o denegación de acceso contiene los siguientes componentes: + **Efecto**: `permit` (permitir) o `forbid` (denegar) el acceso. + **Alcance**: las entidades principales, las acciones y los recursos a los que se aplica el efecto. Puede dejar el alcance de Cedar sin definir si no identifica entidades principales, acciones o recursos específicos. En este caso, la política se aplica a todas las entidades principales, acciones y recursos posibles. Para el acceso a los nodos justo a tiempo, `action` siempre es `AWS::SSM::Action::"getTokenForInstanceAccess"`. + **Cláusula de condición**: el contexto en el que se aplica el efecto. ## Comentarios Puede incluir comentarios en sus políticas de . Los comentarios se definen como una línea que comienza por `//` y termina con un carácter de nueva línea. En el siguiente ejemplo se muestran comentarios en una política. ``` // Allows users in the Engineering group from the Platform org to automatically connect to nodes tagged with Engineering and Production keys. permit ( principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE", action == AWS::SSM::Action::"getTokenForInstanceAccess", resource ) when { principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform" }; ``` ## Cláusulas múltiples Puede utilizar más de una cláusula de condición en una declaración de política mediante el operador `&&`. ``` // Allow access if node has tag where the tag key is Environment // & tag value is Development permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource) when { resource.hasTag("Environment") && resource.getTag("Environment") == "Development" }; ``` ## Caracteres reservados El siguiente ejemplo muestra cómo escribir una política si una propiedad de contexto utiliza un `:` (punto y coma), que es un carácter reservado en el lenguaje de la política. ``` permit ( principal, action == AWS::SSM::Action::"getTokenForInstanceAccess", resource ) when { principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing" } ``` Para ver otros ejemplos, consulte [Ejemplo de instrucciones de políticas](#policy-statement-examples). ## Esquema de acceso a los nodos justo a tiempo A continuación, se muestra el esquema Cedar para el acceso a los nodos justo a tiempo. ``` namespace AWS::EC2 { entity Instance tags String; } namespace AWS::IdentityStore { entity Group; entity User in [Group] { employeeNumber?: String, costCenter?: String, organization?: String, division?: String, }; } namespace AWS::IAM { entity Role; type AuthorizationContext = { principalTags: PrincipalTags, }; entity PrincipalTags tags String; } namespace AWS::SSM { entity ManagedInstance tags String; action "getTokenForInstanceAccess" appliesTo { principal: [AWS::IdentityStore::User], resource: [AWS::EC2::Instance, AWS::SSM::ManagedInstance], context: { "iam": AWS::IAM::AuthorizationContext } }; } ``` ## Operadores integrados Al crear el contexto de una política de aprobación automática o denegación de acceso con varias condiciones, puede utilizar el operador `&&` para añadir condiciones adicionales. También hay muchos otros operadores integrados que puede utilizar para añadir un poder de expresión adicional a las condiciones de su política. La siguiente tabla contiene todos los operadores integrados como referencia. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/auto-approval-deny-access-policy-statement-structure.html) ## Ejemplo de instrucciones de políticas A continuación, se muestran ejemplos de instrucciones de políticas. ``` // Users assuming IAM roles with a principal tag of "Elevated" can automatically access nodes tagged with the "Environment" key when the value equals "prod" permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource) when { // Verify IAM role principal tag context.iam.principalTags.getTag("AccessLevel") == "Elevated" && // Verify the node has a tag with "Environment" tag key and a tag value of "prod" resource.hasTag("Environment") && resource.getTag("Environment") == "prod" }; ``` ``` // Identity Center users in the "Contractor" division can automatically access nodes tagged with the "Environment" key when the value equals "dev" permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource) when { // Verify that the user is part of the "Contractor" division principal.division == "Contractor" && // Verify the node has a tag with "Environment" tag key and a tag value of "dev" resource.hasTag("Environment") && resource.getTag("Environment") == "dev" }; ``` ``` // Identity Center users in a specified group can automatically access nodes tagged with the "Environment" key when the value equals "Production" permit(principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE", action == AWS::SSM::getTokenForInstanceAccess, resource) when { resource.hasTag("Environment") && resource.getTag("Environment") == "Production" }; ```