Utilizzo dei bucket Amazon S3 e delle policy dei bucket per Systems Manager

Durante il processo di onboarding per AWS Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato per le configurazioni dell'organizzazione. Per le configurazioni con account singolo, il bucket viene memorizzato nell'account da configurare.

È possibile utilizzare Systems Manager per eseguire operazioni di diagnostica sul parco istanze per identificare i casi di implementazioni fallite e configurazioni deviate. Systems Manager rileva anche i casi in cui i problemi di configurazione impediscono a Systems Manager di gestire le istanze EC2 nell'account o nell'organizzazione. I risultati di queste operazioni diagnostiche vengono archiviati in questo bucket Amazon S3, che è protetto sia da un metodo di crittografia che da una policy sui bucket S3. Per informazioni sulle operazioni di diagnostica che inviano dati a questo bucket, consulta Diagnosi e correzione.

Modifica del metodo di crittografia del bucket

Per impostazione predefinita, il bucket S3 utilizza la crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3).

È possibile invece utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) tramite una chiave gestita dal cliente (CMK), come alternativa alle chiavi gestite da Amazon S3, come spiegato su Passaggio a una chiave gestita dal cliente AWS KMS per crittografare le risorse S3.

Contenuti della policy del bucket

La policy del bucket impedisce l'individuazione reciproca degli account dei membri di un'organizzazione. Le autorizzazioni di lettura e scrittura per il bucket sono consentite solo per i ruoli di diagnosi e riparazione creati per Systems Manager. Il contenuto di queste policy generate dal sistema è presentato su Policy dei bucket S3 per la console unificata Systems Manager.