• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立just-in-time節點存取的自動核准政策
<a name="systems-manager-just-in-time-node-access-create-auto-approval-policies"></a>

自動核准政策使用 Cedar 政策語言來定義哪些使用者可以在沒有手動核准的情況下，自動連線至指定節點。自動核准政策包含多個指定 `principal` 和 `resource` 的 `permit` 陳述式。每個陳述式都包含一個定義自動核准條件的 `when` 子句。

自動核准政策範例如下所示：

```
permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};
```

下列程序說明如何為即時節點存取建立自動核准政策。自動核准的存取請求的存取持續時間為 1 小時。此值無法變更。每個 AWS 帳戶 和 只能有一個自動核准政策 AWS 區域。如需有關如何建構政策陳述式的詳細資訊，請參閱[自動核准和拒絕存取政策的陳述式結構和內建運算子](auto-approval-deny-access-policy-statement-structure.md)。

**建立自動核准政策**

1. 在 https：//[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。

1. 在導覽窗格中，選取**管理節點存取**。

1. 在**核准政策**索引標籤中，選取**建立自動核准政策**。

1. 在**政策陳述式**區段中輸入自動核准政策的政策陳述式。您可以使用提供的**範例陳述式**來協助您建立政策。

1. 選取**建立自動核准政策**。