AWS Systems Manager におけるデータ境界
データ境界は、想定されるネットワークおよびリソースから信頼できる ID だけがデータにアクセスできるようにするために使用する、AWS 環境内の予防的ガードレールのセットです。データ境界コントロールを実装する場合、Systems Manager がユーザーに代わってアクセスする AWS サービス所有リソースの例外を含める必要がある場合があります。
データ境界の詳細については、「Data perimeters on AWS
Systems Manager がアクセスする AWS サービス所有リソース
Systems Manager は、機能を提供するために以下に示す AWS サービス所有リソースにアクセスします。
SSM ドキュメントカテゴリ S3 バケット
Systems Manager は AWS マネージド S3 バケットにアクセスして、AWS Systems Manager ドキュメント のドキュメントカテゴリ情報を取得します。このバケットには、コンソールで SSM ドキュメントを整理および分類するのに役立つドキュメントカテゴリに関するメタデータが含まれています。
- リソースの ARN パターン
-
arn:aws:s3:::ssm-document-categories-regionリージョンの例:
-
arn:aws:s3:::ssm-document-categories-us-east-1 -
arn:aws:s3:::ssm-document-categories-us-west-2 -
arn:aws:s3:::ssm-document-categories-eu-west-1 -
arn:aws:s3:::ssm-document-categories-ap-northeast-1
-
- アクセスするタイミング
-
このリソースは、Systems Manager コンソールで SSM ドキュメントを表示するとき、またはドキュメントのメタデータとカテゴリを取得する API を使用するときにアクセスされます。
- 保存されるデータ
-
バケットには、ドキュメントのカテゴリ定義とメタデータを含む JSON ファイルが含まれています。このデータは読み取り専用で、顧客固有の情報は含まれません。
- 使用される ID
-
Systems Manager は、ユーザーのリクエストに代わって AWS サービス認証情報を使用してこのリソースにアクセスします。
- 必要なアクセス許可
-
バケットコンテンツの
s3:GetObject。
データ境界ポリシーに関する考慮事項
サービスコントロールポリシー (SCP) または VPC エンドポイントポリシーを使用して aws:ResourceOrgID などの条件付きでデータ境界コントロールを実装する場合は、Systems Manager が必要とする AWS サービス所有リソースの例外を作成する必要があります。
たとえば、SCP で aws:ResourceOrgID を使用して組織外のリソースへのアクセスを制限する場合は、SSM ドキュメントカテゴリバケットに例外を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictToOrgResources", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-example1234567" }, "ForAllValues:StringNotLike": { "aws:ResourceArn": [ "arn:aws:s3:::ssm-document-categories*" ] } } } ] }
このポリシーは、組織外のリソースへのアクセスを拒否しますが、ssm-document-categories* パターンに一致する S3 バケットの例外が含まれるため、Systems Manager が正常に機能し続けることができます。
同様に、VPC エンドポイントポリシーを使用して S3 アクセスを制限する場合は、SSM ドキュメントカテゴリバケットが VPC エンドポイントを介してアクセス可能であることを確認する必要があります。
