Perimeter data di AWS Systems Manager - AWS Systems Manager

AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perimeter data di AWS Systems Manager

Perimeter data adalah seperangkat pagar pembatas pencegahan di AWS lingkungan Anda yang membantu memastikan data Anda hanya dapat diakses oleh identitas tepercaya dari jaringan dan sumber daya yang diharapkan. Saat menerapkan kontrol perimeter data, Anda mungkin perlu menyertakan pengecualian untuk sumber daya AWS milik layanan yang diakses Systems Manager atas nama Anda.

Contoh skenario: Kategori dokumen SSM S3 bucket

Systems Manager mengakses bucket S3 AWS terkelola untuk mengambil informasi kategori dokumen. AWS Systems Manager Dokumen Bucket ini berisi metadata tentang kategori dokumen yang membantu mengatur dan mengklasifikasikan Dokumen SSM di konsol.

Pola ARN sumber daya

arn:aws:s3:::ssm-document-categories-region

Contoh regional:

  • arn:aws:s3:::ssm-document-categories-us-east-1

  • arn:aws:s3:::ssm-document-categories-us-west-2

  • arn:aws:s3:::ssm-document-categories-eu-west-1

  • arn:aws:s3:::ssm-document-categories-ap-northeast-1

Saat diakses

Sumber daya ini diakses saat Anda melihat Dokumen SSM di konsol Systems Manager atau saat menggunakan metadata dan kategori dokumen APIs yang diambil.

Data disimpan

Bucket berisi file JSON dengan definisi kategori dokumen dan metadata. Data ini hanya-baca dan tidak berisi informasi khusus pelanggan.

Identitas yang digunakan

Systems Manager mengakses sumber daya ini menggunakan kredensil AWS layanan atas nama permintaan Anda.

Izin yang diperlukan

s3:GetObjectpada isi ember.

Pertimbangan kebijakan perimeter data

Saat menerapkan kontrol perimeter data menggunakan Kebijakan Kontrol Layanan (SCPs) atau kebijakan titik akhir VPC dengan kondisi sepertiaws:ResourceOrgID, Anda perlu membuat pengecualian untuk AWS sumber daya milik layanan yang dibutuhkan Systems Manager.

Misalnya, jika Anda menggunakan SCP aws:ResourceOrgID untuk membatasi akses ke sumber daya di luar organisasi, Anda perlu menambahkan pengecualian untuk keranjang kategori Dokumen SSM.

Kebijakan ini perlu mengakses sumber daya di luar organisasi Anda, tetapi menyertakan pengecualian untuk bucket S3 yang sesuai, yang memungkinkan Systems Manager untuk terus berfungsi dengan baik.

Demikian pula, jika Anda menggunakan kebijakan titik akhir VPC untuk membatasi akses S3, Anda perlu memastikan bahwa bucket kategori dokumen SSM dapat diakses melalui titik akhir VPC Anda.

Informasi selengkapnya

Untuk informasi selengkapnya tentang perimeter data di AWS, lihat topik berikut: