Perímetro de dados na AWS Systems Manager - AWS Systems Manager
Recursos de propriedade do serviço de AWS acessados pelo Systems ManagerConsiderações sobre políticas de perímetro de dados

Perímetro de dados na AWS Systems Manager

Um perímetro de dados é um conjunto de barreiras de proteção de permissões em seu ambiente da AWS que ajudam a garantir que seus dados só possam ser acessados por identidades confiáveis a partir de redes e recursos esperados. Ao implementar controles de perímetro de dados, talvez seja necessário incluir exceções para recursos de propriedade do serviço de AWS que o Systems Manager acessa em seu nome.

Para obter mais informações sobre perímetros de dados, consulte Perímetros de dados no AWS.

Recursos de propriedade do serviço de AWS acessados pelo Systems Manager

O Systems Manager acessa os recursos de propriedade do serviço de AWS listados abaixo para fornecer funcionalidade.

Categorias de documentos SSM (bucket S3)

O Systems Manager acessa um bucket do S3 gerenciado por AWS para recuperar informações da categoria de documentos para Documentos do AWS Systems Manager. Esse bucket contém metadados sobre categorias de documentos que ajudam a organizar e classificar documentos SSM no console.

Padrões de ARN de recursos

arn:aws:s3:::ssm-document-categories-region

Exemplos regionais:

  • arn:aws:s3:::ssm-document-categories-us-east-1

  • arn:aws:s3:::ssm-document-categories-us-west-2

  • arn:aws:s3:::ssm-document-categories-eu-west-1

  • arn:aws:s3:::ssm-document-categories-ap-northeast-1

Quando acessado

Esse recurso é acessado quando você visualiza documentos SSM no console do Systems Manager ou ao usar APIs que recuperam metadados e categorias de documentos.

Dados armazenados

O bucket contém arquivos JSON com definições de categorias de documentos e metadados. Esses dados são somente para leitura e não contêm informações específicas do cliente.

Identidade usada

O Systems Manager acessa esse recurso usando credenciais de serviço de AWS em nome de suas solicitações.

Permissões obrigatórias

s3:GetObject no conteúdo do bucket.

Considerações sobre políticas de perímetro de dados

Ao implementar controles de perímetro de dados usando políticas de controle de serviços (SCPs) ou políticas de endpoint da VPC com condições como aws:ResourceOrgID, você precisa criar exceções para os recursos de propriedade do serviço AWS que o Systems Manager exige.

Por exemplo, se você estiver usando um SCP com aws:ResourceOrgID para restringir o acesso a recursos fora da sua organização, precisará adicionar uma exceção ao bucket de categorias de documentos do SSM:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictToOrgResources",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceOrgID": "o-example1234567"
        },
        "ForAllValues:StringNotLike": {
          "aws:ResourceArn": [
            "arn:aws:s3:::ssm-document-categories*"
          ]
        }
      }
    }
  ]
}

Essa política nega acesso a recursos fora da sua organização, mas inclui uma exceção para qualquer bucket do S3 que corresponda ao padrão ssm-document-categories*, permitindo que o Systems Manager continue funcionando adequadamente.

Da mesma forma, se você estiver usando políticas de endpoint de VPC para restringir o acesso ao S3, precisará garantir que os buckets de categorias de documentos do SSM sejam acessíveis por meio de seus endpoints da VPC.