Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi - AWS Systems Manager

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una politica di approvazione automatica per l'accesso ai just-in-time nodi

In una policy di approvazione automatica, si utilizza il linguaggio di policy Cedar, per definire quali utenti possono connettersi automaticamente ai nodi specificati senza l'approvazione manuale. Una policy di approvazione automatica contiene molteplici istruzioni di permit, che specificano il principal e la resource. Ogni istruzione include una clausola when, che definisce le condizioni per l'approvazione automatica.

Di seguito è riportato un esempio di policy di approvazione automatica.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

La procedura seguente descrive come creare una politica di approvazione automatica per l'accesso ai just-in-time nodi. La durata di accesso per una richiesta di accesso approvata automaticamente è di un'ora. Questo valore non può essere modificato. Puoi avere solo una politica di approvazione automatica per Account AWS volta. Regione AWS Per maggiori informazioni su come creare le istruzioni della policy, consulta Struttura dell'istruzione e operatori integrati per le policy di approvazione automatica e di negazione dell'accesso.

Per creare una policy di approvazione automatica

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Seleziona Gestisci l'accesso al nodo nel riquadro di navigazione.

  3. Nella scheda Policy di approvazione, seleziona Crea una policy di approvazione automatica.

  4. Inserisci la tua istruzione della policy per quella con l'approvazione automatica nella sezione Istruzione per la policy. Puoi utilizzare le istruzioni di esempio fornite per creare la tua policy.

  5. Seleziona Crea policy di approvazione automatica.