AWS Systems Manager 中的数据边界
数据边界是 AWS 环境中的一组预防性防护机制,可帮助确保只有来自预期网络和资源的可信身份才能访问您的数据。在实施数据边界控制时,可能需要包括 Systems Manager 代表您访问的 AWS 服务自有资源的例外情况。
示例场景:SSM 文档类别 S3 存储桶
Systems Manager 访问 AWS 托管的 S3 存储桶,以检索 AWS Systems Manager 文档 的文档类别信息。此存储桶包含有关文档类别的元数据,可帮助在控制台中组织和分类 SSM 文档。
- 资源 ARN 模式
-
arn:aws:s3:::ssm-document-categories-region区域示例:
-
arn:aws:s3:::ssm-document-categories-us-east-1 -
arn:aws:s3:::ssm-document-categories-us-west-2 -
arn:aws:s3:::ssm-document-categories-eu-west-1 -
arn:aws:s3:::ssm-document-categories-ap-northeast-1
-
- 访问时
-
当您在 Systems Manager 控制台中查看 SSM 文档或使用检索文档元数据和类别的 API 时,可以访问此资源。
- 存储的数据
-
存储桶包含带有文档类别定义和元数据的 JSON 文件。此数据为只读数据,不包含客户特定信息。
- 使用的身份
-
Systems Manager 使用 AWS 服务凭证代表您的请求访问此资源。
- 所需的权限
-
对存储桶内容的
s3:GetObject。
数据边界策略注意事项
使用具有 aws:ResourceOrgID 等条件的服务控制策略(SCP)或 VPC 端点策略实施数据边界控制时,需要为 Systems Manager 所需的 AWS 服务自有资源创建例外情况。
例如,如果您使用具有 aws:ResourceOrgID 的 SCP 来限制对组织外部资源的访问,则需要为 SSM 文档类别存储桶添加例外情况。
该策略需要访问组织外部的资源,但要包含对相应 S3 存储桶的例外情况,以便 Systems Manager 能够继续正常运行。
同样,如果您使用 VPC 端点策略来限制 S3 访问,则需要确保可通过您的 VPC 端点访问 SSM 文档类别存储桶。
更多信息
有关 AWS 中的数据边界的更多信息,请参阅以下主题:
-
《IAM 用户指南》中的使用数据边界建立权限防护机制
-
GitHub 上的 AWS Samples 存储库中的 Service-specific guidance: AWS Systems Manager
和 Service-owned resources
