Perímetro de dados na AWS Systems Manager

Um perímetro de dados é um conjunto de barreiras de proteção de permissões em seu ambiente da AWS que ajudam a garantir que seus dados só possam ser acessados por identidades confiáveis a partir de redes e recursos esperados. Ao implementar controles de perímetro de dados, talvez seja necessário incluir exceções para recursos de propriedade do serviço de AWS que o Systems Manager acessa em seu nome.

Exemplo de cenário: bucket do S3 sobre categorias de documentos SSM

O Systems Manager acessa um bucket do S3 gerenciado por AWS para recuperar informações da categoria de documentos para Documentos do AWS Systems Manager. Esse bucket contém metadados sobre categorias de documentos que ajudam a organizar e classificar documentos SSM no console.

Padrões de ARN de recursos

arn:aws:s3:::ssm-document-categories-region

Exemplos regionais:

arn:aws:s3:::ssm-document-categories-us-east-1
arn:aws:s3:::ssm-document-categories-us-west-2
arn:aws:s3:::ssm-document-categories-eu-west-1
arn:aws:s3:::ssm-document-categories-ap-northeast-1

Quando acessado

Esse recurso é acessado quando você visualiza documentos SSM no console do Systems Manager ou ao usar APIs que recuperam metadados e categorias de documentos.

Dados armazenados

O bucket contém arquivos JSON com definições de categorias de documentos e metadados. Esses dados são somente para leitura e não contêm informações específicas do cliente.

Identidade usada

O Systems Manager acessa esse recurso usando credenciais de serviço de AWS em nome de suas solicitações.

Permissões obrigatórias

s3:GetObject no conteúdo do bucket.

Considerações sobre políticas de perímetro de dados

Ao implementar controles de perímetro de dados usando políticas de controle de serviços (SCPs) ou políticas de endpoint da VPC com condições como aws:ResourceOrgID, você precisa criar exceções para os recursos de propriedade do serviço AWS que o Systems Manager exige.

Por exemplo, se estiver usando um SCP com aws:ResourceOrgID para restringir o acesso a recursos fora da sua organização, você precisará adicionar uma exceção ao bucket de categorias de documentos do SSM.

Essa política nega acesso a recursos fora da sua organização, mas inclui uma exceção para os buckets do S3 apropriados, permitindo que o Systems Manager continue funcionando adequadamente.

Da mesma forma, se você estiver usando políticas de endpoint de VPC para restringir o acesso ao S3, precisará garantir que os buckets de categorias de documentos do SSM sejam acessíveis por meio de seus endpoints da VPC.

Mais informações

Para obter mais informações sobre os perímetros de dados na AWS, consulte os seguintes tópicos:

Perímetros de dados na AWS.
Estabeleça barreiras de proteção para as permissões usando perímetros de dados no Guia do usuário do IAM
Orientação específica do serviço: AWS Systems Manager e recursos de propriedade do serviço no repositório de amostras da AWS no GitHub

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção de dados

Gerenciamento de Identidade e Acesso