Perímetros de datos en AWS Systems Manager

Un perímetro de datos es un conjunto de barreras de protección en su entorno de AWS que ayuda a garantizar que solo sus identidades de confianza accedan a los datos desde las redes y los recursos esperados. Al implementar controles del perímetro de datos, es posible que deba incluir excepciones para los recursos propiedad del servicio de AWS a los que accede Systems Manager en su nombre.

Ejemplo de escenario: Bucket S3 de las categorías de documentos de SSM

Systems Manager accede a un bucket S3 administrado por AWS para recuperar la información de las categorías de documentos para Documentos de AWS Systems Manager. Este bucket contiene metadatos sobre las categorías de documentos que ayudan a organizar y clasificar los documentos de SSM en la consola.

Patrón de ARN de recursos

arn:aws:s3:::ssm-document-categories-region

Ejemplos regionales:

arn:aws:s3:::ssm-document-categories-us-east-1
arn:aws:s3:::ssm-document-categories-us-west-2
arn:aws:s3:::ssm-document-categories-eu-west-1
arn:aws:s3:::ssm-document-categories-ap-northeast-1

Cuándo se accede al recurso

Se accede a este recurso cuando consulta los documentos de SSM en la consola de Systems Manager o cuando utiliza las API que recuperan los metadatos y las categorías de los documentos.

Qué datos se almacenan

El bucket contiene archivos JSON con definiciones de categorías de documentos y metadatos. Estos datos son de solo lectura y no contienen información específica del cliente.

Qué identidad se utiliza

Systems Manager accede a este recurso mediante las credenciales del servicio de AWS en nombre de sus solicitudes.

Permisos necesarios

s3:GetObject en el contenido del bucket.

Consideraciones de la política de perímetro de datos

Al implementar controles de perímetro de datos mediante políticas de control de servicio (SCP) o políticas de puntos de conexión de VPC con condiciones como aws:ResourceOrgID, por ejemplo, debe crear excepciones para los recursos propiedad del servicio de AWS que requiere Systems Manager.

Por ejemplo, si utiliza un SCP con aws:ResourceOrgID para restringir el acceso a recursos externos a su organización, deberá añadir una excepción para el bucket de categorías de documentos de SSM.

Esta política necesita acceder a recursos externos a su organización, pero incluye una excepción para los buckets de S3 correspondientes, lo que permite que Systems Manager siga funcionando correctamente.

Del mismo modo, si utiliza políticas de puntos de conexión de VPC para restringir el acceso a S3, deberá asegurarse de que los buckets de categorías de documentos de SSM se puedan acceder a través de sus puntos de conexión de VPC.

Más información

Para obtener más información acerca de los perímetros de datos en AWS, consulte los siguientes temas:

Data perimeters on AWS.
Establecimiento de barreras de protección de permisos mediante perímetros de datos en la Guía del usuario de IAM
Service-specific guidance: AWS Systems Manager y Service-owned resources en el repositorio AWS Samples en GitHub

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de los datos

Identity and Access Management