• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Regolazione delle impostazioni di Systems Manager
Le opzioni nelle pagine delle **Impostazioni** abilitano e configurano le funzionalità nella console unificata di Systems Manager. Le opzioni visualizzate dipendono dall'account a cui è stato effettuato l'accesso e dal fatto che Systems Manager sia già stato configurato o meno.
**Nota**
Le opzioni nella pagina **Impostazioni** non influiscono sugli strumenti di Systems Manager (precedentemente denominati funzionalità).
## Impostazioni di configurazione dell'account
Se Systems Manager è abilitato e se è stato effettuato l'accesso a un account che non è membro di Organizzazioni, o se l'amministratore delegato non ha aggiunto l'account Organizzazioni a Systems Manager, la pagina **Impostazioni di configurazione** mostra l'opzione **Disabilita Systems Manager**. La disattivazione di Systems Manager implica che Systems Manager non visualizza la console unificata. Tutti gli strumenti di Systems Manager funzioneranno ancora.
## Impostazioni di configurazione organizzativa
Nella scheda **Configurazione organizzativa**, la sezione **Area di residenza** mostra la regione di residenza Regione AWS scelta durante la configurazione. Negli ambienti con più account e più regioni che utilizzano AWS Organizations, Systems Manager aggrega automaticamente i dati dei nodi da tutti gli account e le regioni alla regione di origine. L'aggregazione dei dati in questo modo consente di visualizzare i dati dei nodi tra account e regioni in un'unica posizione.
**Nota**
Se si desidera modificare la regione di origine, è necessario disattivare Systems Manager e, in seguito, riattivarlo. Per disabilitare Systems Manager, scegli **Disabilita**.
La sezione **Configurazione organizzativa** mostra le unità AWS organizzative Regioni AWS scelte durante la configurazione. Per modificare le unità organizzative e le regioni che visualizzano i dati dei nodi in Systems Manager, scegli **Modifica**. Per ulteriori informazioni sulla configurazione di Systems Manager per Organizations, consulta [Configurazione di AWS Systems Manager](systems-manager-setting-up-console.md).
## Configurazioni delle funzionalità
La sezione **Configurazioni delle funzionalità** consente di abilitare e configurare le funzionalità chiave di Systems Manager che migliorano la gestione dei nodi all'interno dell'organizzazione. Queste funzionalità interagiscono per fornire la gestione automatizzata, il monitoraggio della conformità e la manutenzione dei nodi gestiti.
È possibile configurare queste funzionalità durante la configurazione iniziale di Systems Manager o modificarle in un secondo momento tramite la pagina Impostazioni. Ogni funzionalità può essere abilitata o disabilitata indipendentemente in base ai requisiti dell'organizzazione.
### Configurazione di gestione host predefinita
La Configurazione di gestione host predefinita (Default Host Management Configuration, DHMC) configura automaticamente istanze Amazon Elastic Compute Cloud (Amazon EC2) nell'organizzazione per essere gestite da Systems Manager. Se abilitato, DHMC garantisce che le istanze EC2 nuove ed esistenti dispongano delle autorizzazioni e delle configurazioni AWS Identity and Access Management (IAM) necessarie per comunicare con i servizi Systems Manager.
DHMC offre i seguenti vantaggi:
+ **Assegnazione automatica dei ruoli IAM**: garantisce che le istanze EC2 abbiano i ruoli e le policy IAM necessari per funzionare come nodi gestiti
+ **Correzione delle deviazioni**: corregge automaticamente la deviazione della configurazione quando le istanze perdono lo stato di nodo gestito
+ **Onboarding semplificato**: riduce le fasi di configurazione manuale per le nuove istanze
+ **Configurazione coerente**: mantiene le impostazioni uniformi in tutto il parco EC2
#### Configurazione della frequenza di correzione della deviazione
La correzione della deviazione rileva e corregge automaticamente quando le istanze EC2 perdono la configurazione dei nodi gestiti. È possibile configurare la frequenza con cui Systems Manager verifica e corregge le deviazioni di configurazione.
**Per configurare la configurazione di gestione host predefinita**
1. Apri la console all'indirizzo. AWS Systems Manager [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella sezione **Configurazioni delle funzionalità**, individua la voce **Configurazione predefinita della gestione dell'host**.
1. Per abilitare DHMC, attiva l'interruttore di selezione.
1. Per la **frequenza di correzione della derivazione**, scegli con quale frequenza desideri che Systems Manager verifichi e corregga la deviazione della configurazione:
+ **Ogni giorno**: controlla e corregge la deviazione una volta al giorno
+ **Settimanale**: verifica e corregge la deriva una volta alla settimana
+ **Mensile**: verifica e corregge la deriva una volta al mese
1. Scegli **Save** (Salva).
**Nota**
Quando abiliti DHMC, Systems Manager crea i ruoli e le policy IAM necessari nel tuo account. Questi ruoli consentono alle istanze EC2 di comunicare con i servizi Systems Manager. Per ulteriori informazioni sulla creazione dei ruoli IAM tramite DHMC, consulta la sezione [Gestire le istanze EC2 con Systems Manager](systems-manager-setting-up-ec2.md).
### Raccolta dei metadati dell'inventario
La raccolta dei metadati dell'inventario raccoglie automaticamente informazioni dettagliate sui nodi gestiti, tra cui applicazioni installate, configurazioni di rete, aggiornamenti di sistema e altri metadati di sistema. Queste informazioni aiutano a mantenere la conformità, eseguire analisi di sicurezza e comprendere la composizione dell'infrastruttura.
La raccolta dell'inventario offre i seguenti vantaggi:
+ **Monitoraggio della conformità**: monitora il software e le configurazioni installati per i report di conformità
+ **Analisi della sicurezza**: identifica software obsoleti e potenziali vulnerabilità di sicurezza
+ **Gestione delle risorse**: mantieni un up-to-date inventario della tua infrastruttura
+ **Funzionalità di interrogazione**: utilizza i dati raccolti con Amazon Q Developer per query in linguaggio naturale
#### Tipi di dati di inventario raccolti
Quando la raccolta dei metadati dell'inventario è abilitata, Systems Manager raccoglie i seguenti tipi di informazioni dai nodi gestiti:
+ **Applicazioni**: pacchetti software e applicazioni installati
+ **Configurazioni di rete**: interfacce di rete, indirizzi IP e impostazioni di rete
+ **Aggiornamenti di sistema**: patch installate e aggiornamenti disponibili
+ **Proprietà del sistema**: specifiche hardware, dettagli del sistema operativo e configurazioni del sistema
+ **Servizi**: servizi in esecuzione e relative configurazioni
#### Configurazione della frequenza di raccolta dell'inventario
È possibile configurare la frequenza con cui Systems Manager raccoglie i metadati dell'inventario dai nodi gestiti. Una raccolta più frequente fornisce più up-to-date informazioni ma può aumentare l'utilizzo AWS del servizio.
**Per configurare la raccolta dei metadati dell'inventario**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella sezione **Configurazioni delle funzionalità**, individua la **raccolta dei metadati dell'inventario**.
1. Per abilitare la raccolta dell'inventario, attiva l'interruttore di selezione.
1. Per la **frequenza di raccolta**, scegli la frequenza con cui desideri che Systems Manager raccolga i dati di inventario:
+ **Ogni giorno**: raccoglie i dati di inventario una volta al giorno
+ **Settimanale**: raccoglie i dati di inventario una volta alla settimana
+ **Mensile**: raccoglie i dati di inventario una volta al mese
1. Scegli **Save** (Salva).
**Importante**
La raccolta dell'inventario richiede che i nodi gestiti dispongano delle autorizzazioni necessarie per raccogliere informazioni di sistema. Assicurati che i tuoi nodi gestiti abbiano i ruoli e le policy IAM appropriati. Per ulteriori informazioni sulle autorizzazioni richieste, consultare [AWS Systems Manager Inventory](systems-manager-inventory.md).
### Aggiornamenti di SSM Agent
Gli aggiornamenti SSM Agent automatici assicurano che i nodi gestiti eseguano la versione più recente dell'SSM Agent. Mantenere l'agente up-to-date consente di accedere alle funzionalità più recenti, ai miglioramenti della sicurezza e alle correzioni di bug.
SSM Agentgli aggiornamenti automatici offrono i seguenti vantaggi:
+ **Funzionalità più recenti**: accesso a nuove funzionalità e miglioramenti di Systems Manager
+ **Aggiornamenti di sicurezza**: installazione automatica di patch e correzioni di sicurezza
+ **Affidabilità migliorata**: correzioni di bug e miglioramenti dell'affidabilità
+ **Manutenzione ridotta**: elimina la necessità di aggiornamenti manuali degli agenti
#### Configurazione dell'aggiornamento automatico dell'agente
È possibile configurare la frequenza con cui Systems Manager verifica e installa gli aggiornamenti dell'SSM Agent sui nodi gestiti. Gli aggiornamenti regolari aiutano a garantire prestazioni e sicurezza ottimali.
**Per configurare gli aggiornamenti dell'SSM Agent**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella sezione **Configurazioni delle funzionalità**, individua **Aggiornamenti dell'**.
1. Per abilitare gli aggiornamenti automatici, attiva l'interruttore.
1. Per **Frequenza degli aggiornamenti**, scegli la frequenza con cui desideri che Systems Manager controlli e installi gli aggiornamenti degli agenti:
+ **Ogni giorno**: verifica la presenza di aggiornamenti una volta al giorno
+ **Settimanale**: verifica la presenza di aggiornamenti una volta alla settimana
+ **Mensile**: verifica la presenza di aggiornamenti una volta al mese
1. Scegli **Save** (Salva).
## Impostazioni di diagnosi e correzione
Le impostazioni **Diagnostica e correggi** determinano se Systems Manager esegue automaticamente la scansione dei nodi per garantire che comunichino con Systems Manager. Se abilitata, la funzionalità viene eseguita automaticamente in base a una pianificazione definita dall'utente. La funzionalità identifica quali nodi non sono in grado di connettersi a Systems Manager e perché. Questa funzionalità fornisce anche runbook consigliati per risolvere problemi di rete e altri problemi che impediscono la configurazione dei nodi come gestiti.
### Pianificazione di una scansione diagnostica ricorrente
Systems Manager diagnostica e consente di risolvere al meglio diversi tipi di errori di implementazione, nonché deviazioni sulle configurazioni. Systems Manager, inoltre, identifica istanze Amazon Elastic Compute Cloud (Amazon EC2) nell'account o nell'organizzazione che Systems Manager non è in grado di trattare come *nodi gestiti.* Il processo di diagnosi delle istanze EC2 identifica problemi relativi a configurazioni errate in un cloud privato virtuale (VPC), in un'impostazione DNS (Domain Name Service) o in un gruppo di sicurezza Amazon Elastic Compute Cloud (Amazon EC2).
Per semplificare il compito di identificare i nodi che non sono in grado di connettersi a Systems Manager, la funzionalità **Pianifica diagnosi ricorrente** consente di automatizzare, appunto, una scansione diagnostica ricorrente. Le scansioni consentono di identificare al meglio quali nodi non sono in grado di connettersi a Systems Manager e perché. Utilizza la seguente procedura per abilitare e configurare una scansione diagnostica ricorrente dei nodi.
**Per pianificare una scansione diagnostica ricorrente**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi la scheda **Diagnostica e correggi**.
1. Attiva l'opzione **Pianifica diagnosi ricorrenti**.
1. Per **Periodo di scansione**, scegli la frequenza con cui desideri che venga eseguita la scansione.
1. (Facoltativo) In **Ora di inizio**, inserisci un'ora, in formato 24 ore, per l'inizio della diagnosi. Ad esempio, per le 20:15, inserisci **20:15**.
L'ora inserita si riferisce al fuso orario locale corrente.
Se non si specifica un orario, la scansione diagnostica verrà eseguita immediatamente. Systems Manager pianifica inoltre l'esecuzione della scansione in futuro all'ora corrente. Se si specifica un orario, Systems Manager attende l'esecuzione della scansione diagnostica all'ora specificata.
1. Scegli **Save** (Salva).
1. Al termine della scansione, visualizza i dettagli selezionando **Diagnostica e correggi** nel riquadro di navigazione a sinistra.
Per ulteriori informazioni sulla funzionalità **Diagnostica e correggi**, consulta [Diagnosi e correzione](diagnose-and-remediate.md).
### Aggiornamento della crittografia del bucket S3
Quando effettui l'onboard di Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato per le configurazioni. AWS Organizations Per le configurazioni con account singolo, il bucket viene memorizzato nell'account da configurare. Questo bucket viene utilizzato per archiviare i metadati generati durante le scansioni diagnostiche.
Per ulteriori informazioni sulla configurazione della console unificata di Systems Manager, consulta [Configurazione di AWS Systems Manager](systems-manager-setting-up-console.md).
Per impostazione predefinita, i dati nel bucket sono crittografati utilizzando una chiave AWS Key Management Service (AWS KMS) che AWS possiede e gestisce per te.
Puoi scegliere di utilizzare una AWS KMS chiave diversa per la crittografia del bucket. In alternativa, è possibile utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente (CMK). Per informazioni, consulta [Utilizzo dei bucket Amazon S3 e delle policy dei bucket per Systems Manager](systems-manager-diagnosis-metadata-bucket.md).
**Per utilizzare una chiave diversa per la crittografia dei bucket S3 AWS KMS**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi la scheda **Diagnostica e correggi**.
1. Nell'area **Aggiorna la crittografia del bucket S3**, scegli **Modifica.**
1. Seleziona la casella di controllo **Personalizza le impostazioni di crittografia (avanzate)**.
1. Per **Scegli una AWS KMS chiave**, scegli o inserisci l'Amazon Resource Name (ARN) della chiave.
**Suggerimento**
Per creare una nuova chiave, scegli **Crea una chiave AWS KMS **.
1. Scegli **Save** (Salva).
# Utilizzo dei bucket Amazon S3 e delle policy dei bucket per Systems Manager
Durante il [processo di onboarding](systems-manager-setting-up-console.md) per AWS Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato per le configurazioni dell'organizzazione. Per le configurazioni con account singolo, il bucket viene memorizzato nell'account da configurare.
È possibile utilizzare Systems Manager per eseguire operazioni di diagnostica sul parco istanze per identificare i casi di implementazioni fallite e configurazioni deviate. Systems Manager rileva anche i casi in cui i problemi di configurazione impediscono a Systems Manager di gestire le istanze EC2 nell'account o nell'organizzazione. I risultati di queste operazioni diagnostiche vengono archiviati in questo bucket Amazon S3, che è protetto sia da un metodo di crittografia che da una policy di bucket S3. Per informazioni sulle operazioni di diagnostica che inviano dati a questo bucket, consulta [Diagnosi e correzione](diagnose-and-remediate.md).
**Modifica del metodo di crittografia del bucket**
Per impostazione predefinita, il bucket S3 utilizza la crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3).
Puoi invece utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente (CMK) come alternativa alle chiavi gestite di Amazon S3, come spiegato in. [Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3](remediate-s3-bucket-encryption.md)
**Contenuti della policy di bucket**
La policy di bucket impedisce l'individuazione reciproca degli account dei membri di un'organizzazione. Le autorizzazioni di lettura e scrittura per il bucket sono consentite solo per i ruoli di diagnosi e riparazione creati per Systems Manager. Il contenuto di queste policy generate dal sistema è presentato su [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md).
**avvertimento**
La modifica della policy predefinita di bucket consente agli account membri di un'organizzazione di scoprirsi l'un l'altro oppure di leggere i risultati di diagnosi relativi alle istanze di un altro account. Consigliamo di utilizzare estrema cautela qualora si scegliesse di modificare questa policy.
**Topics**
+ [Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3](remediate-s3-bucket-encryption.md)
+ [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md)
# Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3
Durante il processo di onboarding per la console unificata di Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato. Questo bucket viene utilizzato per archiviare i dati di output della diagnosi generati durante le esecuzioni dei runbook di correzione. Per impostazione predefinita, il bucket utilizza la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).
È possibile esaminare il contenuto di queste policy su [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md).
Tuttavia, puoi invece utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente (CMK) come alternativa a una. AWS KMS key
Completare le seguenti attività per configurare Systems Manager per l'utilizzo della CMK.
## Attività 1: aggiungere un tag a una CMK esistente
AWS Systems Manager utilizza la tua CMK solo se è etichettata con la seguente coppia chiave-valore:
+ Chiave: `SystemsManagerManaged`
+ Valore: `true`
Utilizza la seguente procedura per fornire l'accesso per la crittografia del bucket S3 con la CMK.
**Aggiungere un tag alla CMK esistente**
1. [Apri la AWS KMS console in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Nella sezione di navigazione a sinistra, scegli **Chiavi gestite dal cliente**.
1. Seleziona il AWS KMS key da usare con. AWS Systems Manager
1. Seleziona la scheda **Tag**, quindi scegli **Modifica**.
1. Seleziona **Aggiungi tag**.
1. Esegui questa operazione:
1. In **Chiave di tag**, specifica **SystemsManagerManaged**.
1. In **Valore del tag**, inserisci **true**.
1. Scegli **Save** (Salva).
## Attività 2: modificare una policy della chiave CMK esistente
Utilizza la seguente procedura per aggiornare la [politica delle chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) della tua CMK per consentire ai AWS Systems Manager ruoli di crittografare il bucket S3 per tuo conto.
**Per modificare una policy della chiave CMK esistente**
1. [Apri la console in /kms. AWS KMS https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Nella sezione di navigazione a sinistra, scegli **Chiavi gestite dal cliente**.
1. Seleziona il AWS KMS key da usare con. AWS Systems Manager
1. Nella scheda **Policy della chiave**, seleziona **Modifica**.
1. Aggiungi la seguente istruzione JSON al `Statement` campo e sostituiscila *placeholder values* con le tue informazioni.
Assicurati di aggiungere sul campo tutto Account AWS IDs ciò che è presente nella tua organizzazione. AWS Systems Manager `Principal`
Per individuare il nome corretto del bucket nella console Amazon S3, nell'account amministratore delegato, individua il bucket nel formato `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Suggerimento**
In alternativa, puoi aggiornare la policy delle chiavi CMK utilizzando la chiave [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) condition per concedere AWS Systems Manager l'accesso alla tua CMK.
## Attività 3: specificare la CMK nelle impostazioni di Systems Manager
Dopo aver completato le due attività precedenti, utilizzare la procedura seguente per modificare la crittografia del bucket S3. Questa modifica garantisce che il processo di configurazione di Quick Setup associato aggiunga autorizzazioni affinché Systems Manager accetti la CMK.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella scheda **Diagnostica e correggi**, nella sezione **Aggiorna la crittografia del bucket S3**, scegli **Modifica**.
1. Seleziona la casella di controllo **Personalizza le impostazioni di crittografia (avanzate)**.
1. Nella casella di ricerca (![\[The search icon\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/search-icon.png)), scegli l'ID di una chiave esistente, oppure incolla l'ARN di una chiave esistente.
1. Scegli **Salva**.
# Policy di bucket S3 per la console di Systems Manager unificata
Questo argomento include le policy di bucket di Amazon S3 create da Systems Manager quando si integra un'organizzazione o un singolo account nella console unificata di Systems Manager.
**avvertimento**
La modifica della policy di bucket predefinita consente agli account membri di un'organizzazione di scoprirsi l'un l'altro oppure di leggere i risultati di diagnosi relativi alle istanze di un altro account. Consigliamo di utilizzare estrema cautela qualora si scegliesse di modificare questa policy.
## Policy del bucket Amazon S3 per un'organizzazione
Il bucket di diagnosi viene creato con la seguente policy di bucket predefinita durante l'onboarding di un'organizzazione in Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Policy del bucket Amazon S3 per un singolo account
Il bucket di diagnosi viene creato con la seguente policy di bucket predefinita durante l'onboarding di un singolo account in Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------