AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Périmètres de données en AWS Systems Manager
Un périmètre de données est un ensemble de barrières préventives dans votre AWS environnement qui permettent de garantir que seules des identités fiables provenant des réseaux et des ressources attendus peuvent accéder à vos données. Lorsque vous implémentez des contrôles du périmètre des données, vous devrez peut-être inclure des exceptions pour les AWS ressources appartenant au service auxquelles Systems Manager accède en votre nom.
Exemple de scénario : compartiment S3 des catégories de documents SSM
Systems Manager accède à un compartiment S3 AWS géré pour récupérer les informations relatives aux catégories de AWS Systems Manager Documents documents. Ce compartiment contient des métadonnées relatives aux catégories de documents qui permettent d’organiser et de classer les documents SSM dans la console.
- Modèle d’ARN de ressource
-
arn:aws:s3:::ssm-document-categories-regionExemples régionaux :
-
arn:aws:s3:::ssm-document-categories-us-east-1 -
arn:aws:s3:::ssm-document-categories-us-west-2 -
arn:aws:s3:::ssm-document-categories-eu-west-1 -
arn:aws:s3:::ssm-document-categories-ap-northeast-1
-
- Lors de l’accès
-
Cette ressource est accessible lorsque vous consultez les documents SSM dans la console Systems Manager ou lorsque vous utilisez APIs cette solution pour récupérer les métadonnées et les catégories de documents.
- Données stockées
-
Le compartiment contient des fichiers JSON avec des définitions de catégories de documents et des métadonnées. Ces données sont en lecture seule et ne contiennent aucune information spécifique au client.
- Identité utilisée
-
Systems Manager accède à cette ressource en utilisant les informations d'identification du AWS service pour répondre à vos demandes.
- Autorisations requises
-
s3:GetObjectsur le contenu du compartiment.
Considérations relatives aux politiques de périmètre de sécurisation des données
Lorsque vous implémentez des contrôles du périmètre des données à l'aide de politiques de contrôle de service (SCPs) ou de politiques de point de terminaison VPC avec des conditions telles queaws:ResourceOrgID, par exemple, vous devez créer des exceptions pour les ressources AWS appartenant aux services dont Systems Manager a besoin.
Par exemple, si vous utilisez un SCP pour restreindre l'accès aux ressources extérieures à votre organisation, vous devrez ajouter une exception pour le compartiment des catégories de documents SSM. aws:ResourceOrgID
La politique devra accéder à des ressources extérieures à votre organisation, mais inclure une exception pour les compartiments S3 appropriés, afin de permettre à Systems Manager de continuer à fonctionner correctement.
De même, si vous utilisez des politiques de point de terminaison d’un VPC pour restreindre l’accès à S3, vous devez vous assurer que les compartiments de catégories de documents SSM sont accessibles via vos points de terminaison VPC.
En savoir plus
Pour plus d'informations sur les périmètres de données dans AWS, consultez les rubriques suivantes :
-
Établissez des barrières de protection des autorisations à l'aide des périmètres de données du guide de l'utilisateur IAM
-
Conseils spécifiques au service : AWS Systems Manager
et ressources propres au service dans le référentiel d'échantillons sur AWS GitHub
