AWS Systems Manager의 데이터 경계
데이터 경계는 예상 네트워크 및 리소스에서 신뢰할 수 있는 ID만 신뢰할 수 있는 리소스에 액세스하도록 하는 데 사용하는 AWS 환경의 권한 가드레일 세트입니다. 데이터 경계 제어를 구현할 때 Systems Manager가 사용자를 대신하여 액세스하는 AWS 서비스 소유 리소스에 대한 예외를 포함해야 할 수 있습니다.
데이터 경계에 대한 자세한 내용은 AWS의 데이터 경계
Systems Manager에서 액세스하는 AWS 서비스 소유 리소스
Systems Manager는 아래 나열된 AWS 서비스 소유 리소스에 액세스하여 기능을 제공합니다.
SSM 문서 범주 S3 버킷
Systems Manager는 AWS 관리형 S3 버킷에 액세스하여 AWS Systems Manager Documents에 대한 문서 범주 정보를 검색합니다. 이 버킷에는 콘솔에서 SSM 문서를 구성하고 분류하는 데 도움이 되는 문서 범주에 대한 메타데이터가 포함되어 있습니다.
- 리소스 ARN 패턴
-
arn:aws:s3:::ssm-document-categories-region리전별 예제:
-
arn:aws:s3:::ssm-document-categories-us-east-1 -
arn:aws:s3:::ssm-document-categories-us-west-2 -
arn:aws:s3:::ssm-document-categories-eu-west-1 -
arn:aws:s3:::ssm-document-categories-ap-northeast-1
-
- 액세스 시
-
이 리소스는 Systems Manager 콘솔에서 SSM 문서를 보거나 문서 메타데이터 및 범주를 검색하는 API를 사용할 때 액세스됩니다.
- 저장된 데이터
-
버킷에는 문서 범주 정의 및 메타데이터가 포함된 JSON 파일이 포함되어 있습니다. 이 데이터는 읽기 전용이며 고객별 정보를 포함하지 않습니다.
- 사용된 자격 증명
-
Systems Manager는 사용자의 요청을 대신하여 AWS 서비스 자격 증명을 사용해 이 리소스에 액세스합니다.
- 필수 권한
-
버킷 콘텐츠의
s3:GetObject.
데이터 경계 정책의 고려 사항
서비스 제어 정책(SCP) 또는 aws:ResourceOrgID와 같은 조건의 VPC 엔드포인트 정책을 사용하여 데이터 경계 제어를 구현하는 경우 Systems Manager에 필요한 AWS 서비스 소유 리소스에 대한 예외를 생성해야 합니다.
예를 들어 aws:ResourceOrgID에서 SCP를 사용하여 조직 외부의 리소스에 대한 액세스를 제한하는 경우 SSM 문서 범주 버킷에 대한 예외를 추가해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictToOrgResources", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-example1234567" }, "ForAllValues:StringNotLike": { "aws:ResourceArn": [ "arn:aws:s3:::ssm-document-categories*" ] } } } ] }
이 정책은 조직 외부의 리소스에 대한 액세스를 거부하지만 ssm-document-categories* 패턴과 일치하는 모든 S3 버킷에 대한 예외를 포함하여 Systems Manager가 계속 제대로 작동할 수 있도록 합니다.
마찬가지로 VPC 엔드포인트 정책을 사용하여 S3 액세스를 제한하는 경우 VPC 엔드포인트를 통해 SSM 문서 범주 버킷에 액세스할 수 있는지 확인해야 합니다.
