Recursos propiedad del servicio de AWS a los que accede Systems Manager Consideraciones de la política de perímetro de datos

Perímetros de datos en AWS Systems Manager

Un perímetro de datos es un conjunto de barreras de protección en su entorno de AWS que ayuda a garantizar que solo sus identidades de confianza accedan a los datos desde las redes y los recursos esperados. Al implementar controles del perímetro de datos, es posible que deba incluir excepciones para los recursos propiedad del servicio de AWS a los que accede Systems Manager en su nombre.

Para obtener más información sobre los perímetros de datos, consulte Perímetros de datos en AWS.

Recursos propiedad del servicio de AWS a los que accede Systems Manager

Systems Manager accede a los recursos propiedad del servicio de AWS que se enumeran a continuación para proporcionar funcionalidad.

Bucket S3 de las categorías de documentos SSM

Systems Manager accede a un bucket S3 administrado por AWS para recuperar la información de las categorías de documentos para Documentos de AWS Systems Manager. Este bucket contiene metadatos sobre las categorías de documentos que ayudan a organizar y clasificar los documentos de SSM en la consola.

Patrón de ARN de recursos

arn:aws:s3:::ssm-document-categories-region

Ejemplos regionales:

arn:aws:s3:::ssm-document-categories-us-east-1
arn:aws:s3:::ssm-document-categories-us-west-2
arn:aws:s3:::ssm-document-categories-eu-west-1
arn:aws:s3:::ssm-document-categories-ap-northeast-1

Cuándo se accede al recurso

Se accede a este recurso cuando consulta los documentos de SSM en la consola de Systems Manager o cuando utiliza las API que recuperan los metadatos y las categorías de los documentos.

Qué datos se almacenan

El bucket contiene archivos JSON con definiciones de categorías de documentos y metadatos. Estos datos son de solo lectura y no contienen información específica del cliente.

Qué identidad se utiliza

Systems Manager accede a este recurso mediante las credenciales del servicio de AWS en nombre de sus solicitudes.

Permisos necesarios

s3:GetObject en el contenido del bucket.

Consideraciones de la política de perímetro de datos

Al implementar controles de perímetro de datos mediante políticas de control de servicio (SCP) o políticas de puntos de conexión de VPC con condiciones como aws:ResourceOrgID, por ejemplo, debe crear excepciones para los recursos propiedad del servicio de AWS que requiere Systems Manager.

Por ejemplo, si utiliza un SCP con aws:ResourceOrgID para restringir el acceso a recursos externos a su organización, deberá que añadir una excepción para el bucket de categorías de documentos de SSM:



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictToOrgResources",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceOrgID": "o-example1234567"
        },
        "ForAllValues:StringNotLike": {
          "aws:ResourceArn": [
            "arn:aws:s3:::ssm-document-categories*"
          ]
        }
      }
    }
  ]
}

Esta política deniega el acceso a recursos externos a su organización, pero incluye una excepción para cualquier bucket de S3 que coincida con el patrón de ssm-document-categories*, lo que permite que Systems Manager siga funcionando correctamente.

Del mismo modo, si utiliza políticas de puntos de conexión de VPC para restringir el acceso a S3, deberá asegurarse de que los buckets de categorías de documentos de SSM se puedan acceder a través de sus puntos de conexión de VPC.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de los datos

Identity and Access Management