AWS Systems Manager におけるデータ境界

データ境界は、想定されるネットワークおよびリソースから信頼できる ID だけがデータにアクセスできるようにするために使用する、AWS 環境内の予防的ガードレールのセットです。データ境界コントロールを実装する場合、Systems Manager がユーザーに代わってアクセスする AWS サービス所有リソースの例外を含める必要がある場合があります。

シナリオ例: SSM ドキュメントカテゴリ S3 バケット

Systems Manager は AWS マネージド S3 バケットにアクセスして、AWS Systems Manager ドキュメントのドキュメントカテゴリ情報を取得します。このバケットには、コンソールで SSM ドキュメントを整理および分類するのに役立つドキュメントカテゴリに関するメタデータが含まれています。

リソースの ARN パターン

arn:aws:s3:::ssm-document-categories-region

リージョンの例:

arn:aws:s3:::ssm-document-categories-us-east-1
arn:aws:s3:::ssm-document-categories-us-west-2
arn:aws:s3:::ssm-document-categories-eu-west-1
arn:aws:s3:::ssm-document-categories-ap-northeast-1

アクセスするタイミング

このリソースは、Systems Manager コンソールで SSM ドキュメントを表示するとき、またはドキュメントのメタデータとカテゴリを取得する API を使用するときにアクセスされます。

保存されるデータ

バケットには、ドキュメントのカテゴリ定義とメタデータを含む JSON ファイルが含まれています。このデータは読み取り専用で、顧客固有の情報は含まれません。

使用される ID

Systems Manager は、ユーザーのリクエストに代わって AWS サービス認証情報を使用してこのリソースにアクセスします。

必要なアクセス許可

バケットコンテンツの s3:GetObject。

データ境界ポリシーに関する考慮事項

サービスコントロールポリシー (SCP) または VPC エンドポイントポリシーを使用して aws:ResourceOrgID などの条件付きでデータ境界コントロールを実装する場合は、Systems Manager が必要とする AWS サービス所有リソースの例外を作成する必要があります。

例えば、SCP で aws:ResourceOrgID を使用して組織外のリソースへのアクセスを制限する場合は、SSM ドキュメントカテゴリバケットに例外を追加する必要があります。

このポリシーは組織外のリソースへのアクセスを必要としますが、適切な S3 バケットに関する例外が含まれているので、Systems Manager は引き続き正常に機能します。

同様に、VPC エンドポイントポリシーを使用して S3 アクセスを制限する場合は、SSM ドキュメントカテゴリバケットが VPC エンドポイントを介してアクセス可能であることを確認する必要があります。

詳細情報

AWS のデータ境界の詳細については、次のトピックを参照してください。

Data perimeters on AWS
「IAM ユーザーガイド」の「データ境界を使用してアクセス許可ガードレールを確立する」
GitHub の AWS Samples リポジトリの「Service-specific guidance: AWS Systems Manager」および「Service-owned resources」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

データ保護

アイデンティティ/アクセス管理