Datenperimeter in AWS Systems Manager

Bei einem Datenperimeter handelt es sich um eine Reihe präventiver Schutzmaßnahmen in Ihrer AWS Umgebung, die sicherstellen, dass nur vertrauenswürdige Identitäten aus den erwarteten Netzwerken und Ressourcen auf Ihre Daten zugreifen können. Wenn Sie Datenperimeterkontrollen implementieren, müssen Sie möglicherweise Ausnahmen für AWS diensteigene Ressourcen einbeziehen, auf die Systems Manager in Ihrem Namen zugreift.

Beispielszenario: SSM-Dokumentkategorien, S3-Bucket

Systems Manager greift auf einen AWS verwalteten S3-Bucket zu, um Informationen zur AWS Systems Manager-Documents Dokumentkategorie abzurufen. Dieser Bucket enthält Metadaten zu Dokumentkategorien, mit deren Hilfe SSM-Dokumente in der Konsole organisiert und klassifiziert werden können.

ARN-Muster für Ressourcen

arn:aws:s3:::ssm-document-categories-region

Regionale Beispiele:

arn:aws:s3:::ssm-document-categories-us-east-1
arn:aws:s3:::ssm-document-categories-us-west-2
arn:aws:s3:::ssm-document-categories-eu-west-1
arn:aws:s3:::ssm-document-categories-ap-northeast-1

Zugriff

Auf diese Ressource wird zugegriffen, wenn Sie SSM-Dokumente in der Systems Manager Manager-Konsole anzeigen oder wenn Sie APIs diese zum Abrufen von Dokumentmetadaten und Kategorien verwenden.

Gespeicherte Daten

Der Bucket enthält JSON-Dateien mit Definitionen und Metadaten für Dokumentkategorien. Diese Daten sind schreibgeschützt und enthalten keine kundenspezifischen Informationen.

Verwendete Identität

Systems Manager greift im Namen Ihrer Anfragen mithilfe von AWS Dienstanmeldedaten auf diese Ressource zu.

Erforderliche Berechtigungen

s3:GetObject für die Inhalte des Buckets.

Überlegungen zur Datenperimeter-Richtlinien

Bei der Implementierung von Datenperimeterkontrollen mithilfe von Service Control Policies (SCPs) oder VPC-Endpunktrichtlinien mit Bedingungen wieaws:ResourceOrgID, müssen Sie Ausnahmen für die AWS diensteigenen Ressourcen erstellen, die Systems Manager benötigt.

Wenn Sie beispielsweise ein SCP mit verwenden, aws:ResourceOrgID um den Zugriff auf Ressourcen außerhalb Ihrer Organisation einzuschränken, müssten Sie eine Ausnahme für den Bereich SSM-Dokumentkategorien hinzufügen.

Die Richtlinie müsste auf Ressourcen außerhalb Ihrer Organisation zugreifen, aber eine Ausnahme für die entsprechenden S3-Buckets enthalten, damit Systems Manager weiterhin ordnungsgemäß funktionieren kann.

Wenn Sie VPC-Endpunktrichtlinien verwenden, um den S3-Zugriff einzuschränken, müssten Sie ebenfalls sicherstellen, dass die Buckets für SSM-Dokumentkategorien über Ihre VPC-Endpunkte zugänglich sind.

Weitere Informationen

Weitere Informationen zu Datenperimetern finden Sie in den AWS folgenden Themen:

Datenperimeter aktiviert. AWS
Richten Sie mithilfe von Datenperimetern im IAM-Benutzerhandbuch Richtlinien für Berechtigungen ein
Servicespezifische Anleitungen: AWS Systems Manager und Ressourcen, die dem Dienst gehören, befinden sich im Samples-Repository auf AWS GitHub

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenschutz

Identity and Access Management