Perimetri di dati in AWS Systems Manager - AWS Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Perimetri di dati in AWS Systems Manager

Un perimetro di dati è un insieme di barriere preventive nell' AWS ambiente che aiutano a garantire che i dati siano accessibili solo da identità affidabili provenienti dalle reti e dalle risorse previste. Quando si implementano i controlli perimetrali dei dati, potrebbe essere necessario includere eccezioni per le risorse di proprietà dei AWS servizi a cui Systems Manager accede per conto dell'utente.

Scenario di esempio: bucket S3 per categorie di documenti SSM

Systems Manager accede a un bucket S3 AWS gestito per recuperare informazioni sulle categorie di documenti per. Documenti di AWS Systems Manager Questo bucket contiene metadati sulle categorie di documenti che aiutano a organizzare e classificare i documenti SSM nella console.

Modelli ARN delle risorse

arn:aws:s3:::ssm-document-categories-region

Esempi regionali:

  • arn:aws:s3:::ssm-document-categories-us-east-1

  • arn:aws:s3:::ssm-document-categories-us-west-2

  • arn:aws:s3:::ssm-document-categories-eu-west-1

  • arn:aws:s3:::ssm-document-categories-ap-northeast-1

Quando si è effettuato l'accesso

È possibile accedere a questa risorsa quando si visualizzano i documenti SSM nella console Systems Manager o quando si utilizza APIs quel documento di recupero dei metadati e delle categorie.

Dati archiviati

Il bucket contiene file JSON con definizioni e metadati delle categorie di documenti. Questi dati sono di sola lettura e non contengono informazioni specifiche sul cliente.

Identità utilizzata

Systems Manager accede a questa risorsa utilizzando le credenziali di AWS servizio per conto delle richieste dell'utente.

Autorizzazioni richieste

s3:GetObject sui contenuti del bucket.

Considerazioni sulle policy del perimetro dei dati

Quando si implementano controlli perimetrali dei dati utilizzando Service Control Policies (SCPs) o policy degli endpoint VPC con condizioni qualiaws:ResourceOrgID, è necessario creare eccezioni per le risorse di proprietà AWS del servizio richieste da Systems Manager.

Ad esempio, se si utilizza un SCP per limitare l'accesso alle risorse esterne all'organizzazione, è necessario aggiungere un'eccezione per il bucket di categorie di documenti SSM. aws:ResourceOrgID

La policy prevede l'accesso a risorse esterne all'organizzazione, ma include un'eccezione per i bucket S3 appropriati, che consente a Systems Manager di continuare a funzionare correttamente.

Allo stesso modo, se si utilizzano le policy degli endpoint VPC per limitare l'accesso a S3, è necessario assicurarsi che i bucket delle categorie di documenti SSM siano accessibili tramite gli endpoint VPC dell'utente.

Ulteriori informazioni

Per ulteriori informazioni sui perimetri dei dati in AWS, consulta i seguenti argomenti: