AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的資料周邊 AWS Systems Manager
資料周邊是 AWS 環境中的一組預防性護欄,可協助確保只有來自預期網路和資源的受信任身分才能存取您的資料。當您實作資料周邊控制時,您可能需要包含 Systems Manager 代表您存取 AWS 的服務擁有資源例外狀況。
範例案例:SSM 文件類別 S3 儲存貯體
Systems Manager 會存取 AWS 受管 S3 儲存貯體,以擷取 的文件類別資訊AWS Systems Manager Documents。此儲存貯體包含有關文件類別的中繼資料,可協助在主控台中整理和分類 SSM 文件。
- 資源 ARN 模式
-
arn:aws:s3:::ssm-document-categories-region區域範例:
-
arn:aws:s3:::ssm-document-categories-us-east-1 -
arn:aws:s3:::ssm-document-categories-us-west-2 -
arn:aws:s3:::ssm-document-categories-eu-west-1 -
arn:aws:s3:::ssm-document-categories-ap-northeast-1
-
- 存取時
-
當您在 Systems Manager 主控台中檢視 SSM 文件,或使用擷取文件中繼資料和類別的 API 時,會存取此資源。
- 資料已儲存
-
儲存貯體包含具有文件類別定義和中繼資料的 JSON 檔案。此資料為唯讀,而且不包含客戶特定資訊。
- 使用的身分
-
Systems Manager 會代表您的要求,使用 AWS 服務登入資料來存取此資源。
- 所需的許可
-
儲存貯體內容中的
s3:GetObject。
資料周界政策考量
使用具有 等條件的服務控制政策 (SCPs) 或 VPC 端點政策實作資料周邊控制時aws:ResourceOrgID,您需要為 Systems Manager 所需的 AWS 服務擁有資源建立例外狀況。
例如,如果您使用 SCP 搭配 aws:ResourceOrgID 來限制對組織外部資源的存取,則需要為 SSM 文件類別儲存貯體新增例外狀況。
此政策需要存取組織外部的資源,但包含適當 S3 儲存貯體的例外狀況,允許 Systems Manager 繼續正常運作。
同樣地,如果您使用 VPC 端點政策來限制 S3 存取,則您需要確保可透過 VPC 端點存取 SSM 文件類別儲存貯體。
其他資訊
如需 中資料周邊的詳細資訊 AWS,請參閱下列主題:
-
《IAM 使用者指南》中的使用資料周邊建立許可護欄
-
GitHub 上AWS 範例儲存庫中的服務特定指引: AWS Systems Manager
和服務擁有的資源
