• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Systems-Manager-Einstellungen anpassen
Die Optionen auf den **Einstellungsseiten** aktivieren und konfigurieren Funktionen in der vereinheitlichten Systems-Manager-Konsole. Die angezeigten Optionen hängen von dem Konto ab, mit dem Sie angemeldet sind, und davon, ob Sie Systems Manager bereits eingerichtet haben oder nicht.
**Anmerkung**
Die Optionen auf der Seite **Einstellungen** haben keinen Einfluss auf die Systems-Manager-Tools (früher Funktionen genannt).
## Kontoeinrichtungseinstellungen
Wenn Systems Manager aktiviert ist und Sie mit einem Konto angemeldet sind, das kein Mitglied von Organizations ist, oder wenn der delegierte Administrator Ihr Organisationskonto nicht zu Systems Manager hinzugefügt hat, wird auf der **Kontoeinrichtungsseite** die Option **Systems Manager deaktivieren** angezeigt. Die Deaktivierung von Systems Manager bedeutet, dass Systems Manager nicht das vereinheitlichte Konsolenerlebnis anzeigt. Alle Systems-Manager-Tools funktionieren weiterhin.
## Organisationseinstellungen
Auf der Registerkarte **Organisationseinstellungen** wird im **Bereich Heimatregion** die Region angezeigt, die bei der Einrichtung als Heimatregion AWS-Region ausgewählt wurde. In Umgebungen mit mehreren Konten und Regionen, in denen verwendet wird AWS Organizations, aggregiert Systems Manager automatisch Knotendaten aus allen Konten und Regionen in der Heimatregion. Wenn Sie Daten auf diese Weise aggregieren, können Sie Knotendaten über Konten und Regionen hinweg an einem einzigen Ort anzeigen.
**Anmerkung**
Wenn Sie die Heimatregion ändern möchten, müssen Sie Systems Manager deaktivieren und erneut aktivieren. Um Systems Manager zu deaktivieren, wählen Sie **Deaktivieren**.
Im Bereich **Organisationseinrichtung** werden die AWS Organisationseinheiten angezeigt, die bei der Einrichtung AWS-Regionen ausgewählt wurden. Um zu ändern, welche Organisationseinheiten und Regionen Knotendaten in Systems Manager anzeigen, wählen Sie **Bearbeiten**. Weitere Informationen zum Festlegen von Systems Manager für Organizations finden Sie unter [Einrichten von AWS Systems Manager](systems-manager-setting-up-console.md).
## Funktionskonfigurationen
Im Abschnitt **Featurekonfigurationen** können Sie wichtige Systems-Manager-Funktionen aktivieren und konfigurieren, die das Knotenmanagement in Ihrem Unternehmen verbessern. Diese Features sorgen zusammen für eine automatisierte Verwaltung, Compliance-Überwachung und Wartung Ihrer verwalteten Knoten.
Sie können diese Features bei der Erstinstallation von Systems Manager konfigurieren oder sie später auf der Seite „Einstellungen“ ändern. Jedes Feature kann je nach den Anforderungen Ihres Unternehmens unabhängig aktiviert oder deaktiviert werden.
### Standardkonfiguration für die Hostverwaltung
Die Standard-Host-Management-Konfiguration (DHMC) konfiguriert Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihrer Organisation automatisch für die Verwaltung durch Systems Manager. Wenn diese Option aktiviert ist, stellt DHMC sicher, dass neue und bestehende EC2-Instances über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen und Konfigurationen verfügen, um mit Systems Manager Manager-Diensten zu kommunizieren.
DHCM bietet die folgenden Vorteile:
+ **Automatische IAM-Rollenzuweisung** – Stellt sicher, dass EC2-Instances über die erforderlichen IAM-Rollen und -Richtlinien verfügen, um als verwaltete Knoten zu funktionieren
+ **Behebung von Abweichungen** – Korrigiert automatisch Konfigurationsabweichungen, wenn Instances ihren Status als verwalteter Knoten verlieren
+ **Vereinfachtes Onboarding** – Reduziert die Anzahl manueller Konfigurationsschritte für neue Instances
+ **Konsistente Konfiguration** – Behält einheitliche Einstellungen in Ihrer EC2-Flotte bei
#### Konfiguration der Häufigkeit von Abweichungskorrekturen
Die Abweichungskorrektur erkennt und korrigiert automatisch, wenn EC2-Instances ihre verwaltete Knotenkonfiguration verlieren. Sie können konfigurieren, wie oft Systems Manager nach Konfigurationsabweichungen sucht und diese behebt.
**Konfigurieren Sie die Standardkonfiguration für die Host-Verwaltung wie folgt:**
1. Öffnen Sie die Konsole unter AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Featurekonfigurationen** nach **Standard-Host-Management-Konfiguration**.
1. Um DHMC zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Häufigkeit der Abweichungskorrektur** aus, wie oft Systems Manager nach Konfigurationsabweichungen suchen und diese korrigieren soll:
+ **Täglich** – Abweichungen werden einmal täglich überprüft und behoben
+ **Wöchentlich** – Abweichungen werden einmal pro Woche überprüft und behoben
+ **Monatlich** – Abweichungen werden einmal pro Monat überprüft und behoben
1. Wählen Sie **Speichern**.
**Anmerkung**
Wenn Sie DHMC aktivieren, erstellt Systems Manager die erforderlichen IAM-Rollen und -Richtlinien in Ihrem Konto. Diese Rollen ermöglichen es EC2-Instances, mit Systems-Manager-Services zu kommunizieren. Weitere Informationen über die von DHMC erstellten IAM-Rollen finden Sie unter [Verwalten von EC2-Instances mit Systems Manager](systems-manager-setting-up-ec2.md).
### Erfassung von Inventarmetadaten
Bei der Erfassung von Inventarmetadaten werden automatisch detaillierte Informationen über Ihre verwalteten Knoten gesammelt, einschließlich installierter Anwendungen, Netzwerkkonfigurationen, Systemupdates und anderer Systemmetadaten. Diese Informationen helfen Ihnen dabei, die Compliance zu gewährleisten, Sicherheitsanalysen durchzuführen und die Zusammensetzung Ihrer Infrastruktur zu verstehen.
Die Bestandserfassung bietet die folgenden Vorteile:
+ **Compliance-Überwachung** – Verfolgen Sie installierte Software und Konfigurationen für die Erstellung von Compliance-Berichten
+ **Sicherheitsanalyse** – Identifizieren Sie veraltete Software und potenzielle Sicherheitslücken
+ **Asset Management** — Führen Sie ein up-to-date Inventar Ihrer Infrastruktur
+ **Abfragefunktionen** – Verwenden Sie erfasste Daten mit Amazon Q Developer für Abfragen in natürlicher Sprache
#### Arten der erfassten Inventardaten
Wenn die Erfassung von Inventarmetadaten aktiviert ist, erfasst Systems Manager die folgenden Arten von Informationen von Ihren verwalteten Knoten:
+ **Anwendungen** – Installierte Softwarepakete und Anwendungen
+ **Netzwerkkonfigurationen** – Netzwerkschnittstellen, IP-Adressen und Netzwerkeinstellungen
+ **Systemupdates** – Installierte Patches und verfügbare Updates
+ **Systemeigenschaften** – Hardwarespezifikationen, Betriebssystemdetails und Systemkonfigurationen
+ **Services** – Laufende Services und ihre Konfigurationen
#### Konfigurieren der Häufigkeit der Bestandserfassung
Sie können konfigurieren, wie häufig Systems Manager Inventar-Metadaten aus Ihren verwalteten Knoten erfasst. Eine häufigere Erfassung bietet mehr up-to-date Informationen, kann jedoch die Nutzung der AWS Dienste erhöhen.
**Konfigurieren Sie die Erfassung von Inventar-Metadaten wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Feature-Konfigurationen** nach **Erfassung von Inventarmetadaten**.
1. Um die Inventarerfassung zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Erfassungshäufigkeit** aus, wie oft Systems Manager Inventardaten erfassen soll:
+ **Täglich** – Inventardaten werden einmal täglich erfasst
+ **Wöchentlich** – Inventardaten werden einmal pro Woche erfasst
+ **Monatlich** – Inventardaten werden einmal pro Monat erfasst
1. Wählen Sie **Speichern**.
**Wichtig**
Für die Inventarerfassung müssen verwaltete Knoten über die erforderlichen Berechtigungen zum Erfassen von Systeminformationen verfügen. Stellen Sie sicher, dass Ihre verwalteten Knoten über die entsprechenden IAM-Rollen und -Richtlinien verfügen. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter [AWS Systems Manager-Bestand](systems-manager-inventory.md).
### SSM Agent-Aktualisierungen
Automatische SSM Agent-Updates stellen sicher, dass auf Ihren verwalteten Knoten die neueste Version von SSM Agent ausgeführt wird. Wenn Sie den Agenten behalten, erhalten Sie up-to-date Zugriff auf die neuesten Funktionen, Sicherheitsverbesserungen und Bugfixes.
Automatische SSM Agent-Aktualisierungen bieten die folgenden Vorteile:
+ **Aktuelle Features** – Zugriff auf neue Systems-Manager-Funktionen und Verbesserungen
+ **Sicherheitsupdates** – Automatische Installation von Sicherheitspatches und Fixes
+ **Verbesserte Zuverlässigkeit** – Bugfixes und Stabilitätsverbesserungen
+ **Geringerer Wartungsaufwand** – Manuelle Agenten-Updates sind nicht mehr erforderlich
#### Konfigurieren von automatischen Agenten-Updates
Sie können konfigurieren, wie oft Systems Manager nach SSM Agent-Updates sucht und diese auf Ihren verwalteten Knoten installiert. Regelmäßige Updates sorgen für optimale Leistung und Sicherheit.
**Konfigurieren Sie SSM Agent-Updates wie folgt:**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Suchen Sie im Abschnitt **Feature-Konfigurationen** nach **SSM Agent-Updates**.
1. Um automatische Updates zu aktivieren, aktivieren Sie den Schalter.
1. Wählen Sie unter **Aktualisierungshäufigkeit** aus, wie oft Systems Manager nach Agenten-Updates suchen und diese installieren soll:
+ **Täglich** – Einmal pro Tag wird nach Updates gesucht
+ **Wöchentlich** – Einmal pro Woche wird nach Updates gesucht
+ **Monatlich** – Einmal pro Monat wird nach Updates gesucht
1. Wählen Sie **Speichern**.
## Einstellungen diagnostizieren und korrigieren
Die Einstellungen für **Diagnose und Korrektur bestimmen**, ob Systems Manager Ihre Knoten automatisch scannt, um sicherzustellen, dass sie mit Systems Manager kommunizieren können. Wenn diese Option aktiviert ist, wird die Funktion automatisch nach einem von Ihnen definierten Zeitplan ausgeführt. Die Funktion identifiziert, welche Knoten keine Verbindung zu Systems Manager herstellen können und warum. Dieses Feature bietet auch empfohlene Runbooks zur Behebung von Netzwerkproblemen und anderen Problemen, die verhindern, dass Knoten als verwaltete Knoten konfiguriert werden.
### Planen eines wiederkehrenden Diagnosescans
Systems Manager kann verschiedene Arten von Bereitstellungsfehlern sowie fehlerhafte Konfigurationen diagnostizieren und Ihnen helfen, diese zu beheben. Systems Manager kann auch Amazon Elastic Compute Cloud (Amazon EC2)-Instances in Ihrem Konto oder Ihrer Organisation identifizieren, die Systems Manager nicht als *verwalteten Knoten* behandeln kann. Der EC2-Instance-Diagnoseprozess kann Probleme im Zusammenhang mit Fehlkonfigurationen für eine Virtual Private Cloud (VPC), in einer Domain Name Service (DNS)-Einstellung oder in einer Amazon Elastic Compute Cloud (Amazon EC2)-Sicherheitsgruppe identifizieren.
Um die Identifizierung von Knoten zu vereinfachen, die keine Verbindung zu Systems Manager herstellen können, können Sie mit dem Feature **Wiederkehrende Diagnose planen** einen wiederkehrenden Diagnosescan automatisieren. Mithilfe der Scans kann festgestellt werden, welche Knoten keine Verbindung zu Systems Manager herstellen können und warum. Gehen Sie wie folgt vor, um einen wiederkehrenden Diagnosescan Ihrer Knoten zu aktivieren und zu konfigurieren.
**So planen Sie einen wiederkehrenden Diagnosescan**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Diagnose und Behebung** aus.
1. Aktivieren Sie die Option **Wiederkehrende Diagnose planen**.
1. Wählen Sie unter **Scanzeitraum** aus, wie oft der Scan ausgeführt werden soll.
1. (Optional) Geben Sie unter **Startzeit** eine Uhrzeit im 24-Stunden-Format ein, zu der die Diagnose beginnen soll. Geben Sie zum Beispiel für 8:15 Uhr abends **20:15** ein.
Die von Ihnen eingegebene Zeit bezieht sich auf Ihre aktuelle lokale Zeitzone.
Wenn Sie keine Uhrzeit angeben, wird der Diagnosescan sofort ausgeführt. Systems Manager plant außerdem, dass der Scan in der Zukunft zum aktuellen Zeitpunkt ausgeführt wird. Wenn Sie eine Uhrzeit angeben, wartet Systems Manager darauf, den Diagnosescan zum angegebenen Zeitpunkt auszuführen.
1. Wählen Sie **Speichern**.
1. Wenn der Scan abgeschlossen ist, können Sie sich die Details anzeigen lassen, indem Sie im linken Navigationsbereich die Option **Diagnose und Behebung** auswählen.
Weitere Informationen zur **Diagnose- und Problembehebungsfunktion** finden Sie unter [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md).
### S3-Bucket-Verschlüsselung aktualisieren
Wenn Sie Systems Manager einbinden, erstellt Quick Setup einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto für AWS Organizations Setups. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird. Dieser Bucket wird verwendet, um die Metadaten zu speichern, die bei Diagnosescans generiert wurden.
Weitere Informationen zur Einrichtung der vereinheitlichten Systems-Manager-Konsole finden Sie unter [Einrichten von AWS Systems Manager](systems-manager-setting-up-console.md).
Standardmäßig werden Ihre Daten im Bucket mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt, der Ihnen AWS gehört und für Sie verwaltet.
Sie können wählen, ob Sie einen anderen AWS KMS Schlüssel für Ihre Bucket-Verschlüsselung verwenden möchten. Als weitere Alternative können Sie die serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines vom Kunden verwalteten Schlüssels (CMK) verwenden. Weitere Informationen finden Sie unter [Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager](systems-manager-diagnosis-metadata-bucket.md).
**Um einen anderen AWS KMS Schlüssel für die S3-Bucket-Verschlüsselung zu verwenden**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann die Registerkarte **Diagnose und Behebung** aus.
1. Wählen Sie im Bereich **S3-Bucket-Verschlüsselung aktualisieren** die Option **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)**.
1. **Wählen Sie unter AWS KMS Schlüssel** auswählen den Amazon-Ressourcennamen (ARN) des Schlüssels aus oder geben Sie ihn ein.
**Tipp**
Um einen neuen Schlüssel zu erstellen, wählen Sie ** AWS KMS -Schlüssel erstellen**.
1. Wählen Sie **Speichern**.
# Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager
Quick SetupErstellt während des [Onboarding-Prozesses](systems-manager-setting-up-console.md) für AWS Systems Manager einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto für Organisationseinrichtungen. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird.
Sie können Systems Manager verwenden, um Diagnosevorgänge für Ihre Flotte durchzuführen, um Fälle von fehlgeschlagenen Bereitstellungen und fehlerhaften Konfigurationen zu identifizieren. Systems Manager kann auch Fälle erkennen, in denen Konfigurationsprobleme Systems Manager daran hindern, EC2-Instances in Ihrem Konto oder Ihrer Organisation zu verwalten. Die Ergebnisse dieser Diagnosevorgänge werden in diesem Amazon-S3-Bucket gespeichert, der sowohl durch eine Verschlüsselungsmethode als auch durch eine S3-Bucket-Richtlinie geschützt ist. Informationen zu den Diagnosevorgängen, die Daten in diesen Bucket ausgeben, finden Sie unter [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md).
**Ändern der Bucket-Verschlüsselungsmethode**
Standardmäßig verwendet der S3-Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Sie können stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines vom Kunden verwalteten Schlüssels (CMK) als Alternative zu verwalteten Amazon S3 S3-Schlüsseln verwenden, wie unter erklärt. [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
**Inhalte der Bucketrichtlinien**
Die Bucket-Richtlinie verhindert, dass sich Mitgliedskonten in einer Organisation gegenseitig entdecken. Lese- und Schreibberechtigungen für den Bucket sind nur für die Diagnose- und Behebungsrollen zulässig, die für Systems Manager erstellt wurden. Die Inhalte dieser vom System generierten Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
**Topics**
+ [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
+ [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md)
# Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen
Quick Setup erstellt während des Onboarding-Prozesses für die vereinheitlichte Systems-Manager-Konsole einen Amazon Simple Storage Service (Amazon S3)-Bucket im delegierten Administratorkonto. In diesem Bucket werden die während der Ausführung des Reparatur-Runbooks generierten Diagnoseausgabedaten gespeichert. Standardmäßig verwendet der Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Den Inhalt dieser Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
Sie können jedoch stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) verwenden, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) als Alternative zu einem verwenden. AWS KMS key
Führen Sie die folgenden Aufgaben aus, um Systems Manager für die Verwendung Ihres CMK zu konfigurieren.
## Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu
AWS Systems Manager verwendet Ihr CMK nur, wenn es mit dem folgenden Schlüssel-Wert-Paar gekennzeichnet ist:
+ Schlüssel: `SystemsManagerManaged`
+ Wert: `true`
Gehen Sie wie folgt vor, um Zugriff auf die Verschlüsselung des S3-Buckets mit Ihrem CMK zu gewähren.
**Hinzufügen eines Tags zu Ihrem vorhandenen CMK**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie die Registerkarte **Tags** und dann **Bearbeiten** aus.
1. Wählen Sie **Add tag**.
1. Gehen Sie wie folgt vor:
1. Geben Sie für **Tag-Schlüssel** **SystemsManagerManaged** ein.
1. Geben Sie für **Tag-Wert** **true** ein.
1. Wählen Sie **Speichern** aus.
## Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern
Gehen Sie wie folgt vor, um die [KMS-Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Ihres CMK zu aktualisieren, sodass AWS Systems Manager Rollen den S3-Bucket in Ihrem Namen verschlüsseln können.
**Um eine bestehende CMK-Schlüsselrichtlinie zu ändern**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie im Tab **Schlüsselrichtlinie** die Option **Bearbeiten** aus.
1. Fügen Sie dem `Statement` Feld die folgende JSON-Anweisung hinzu und ersetzen Sie sie durch Ihre eigenen Informationen. *placeholder values*
Stellen Sie sicher, dass Sie alle AWS-Konto IDs Daten, die in Ihrer Organisation integriert sind, zu dem AWS Systems Manager `Principal` Feld hinzufügen.
Um den richtigen Bucket-Namen in der Amazon-S3-Konsole zu finden, suchen Sie im delegierten Administratorkonto den Bucket im Format `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Tipp**
Alternativ können Sie die CMK-Schlüsselrichtlinie mithilfe des Bedingungsschlüssels [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) aktualisieren, um AWS Systems Manager Zugriff auf Ihr CMK zu gewähren.
## Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an
Gehen Sie nach Abschluss der beiden vorherigen Aufgaben wie folgt vor, um die S3-Bucket-Verschlüsselung zu ändern. Durch diese Änderung wird sichergestellt, dass der zugehörige Quick Setup-Konfigurationsprozess Berechtigungen für Systems Manager hinzufügen kann, Ihr CMK zu akzeptieren.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie auf der Registerkarte **Diagnose und Behebung** im Abschnitt **S3-Bucket-Verschlüsselung aktualisieren** die Option **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)**.
1. Wählen Sie im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) die ID eines vorhandenen Schlüssels aus, oder fügen Sie den ARN eines vorhandenen Schlüssels ein.
1. Wählen Sie **Speichern**.
# S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole
Dieses Thema umfasst die Amazon-S3-Bucket-Richtlinien, die von Systems Manager erstellt wurden, wenn Sie eine Organisation oder ein einzelnes Konto in die vereinheitlichte Systems-Manager-Konsole einbinden.
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
## Amazon-S3-Bucket-Richtlinie für eine Organisation
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn eine Organisation in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Amazon-S3-Bucket-Richtlinie für ein einzelnes Konto
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn ein einzelnes Konto in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------