本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SSM Agent 与 Amazon 托管 S3 存储桶进行通信
在执行各种 Systems Manager 操作过程中,Amazon Systems Manager Agent (SSM Agent) 将访问许多 Amazon Simple Storage Service (Amazon S3) 存储桶。这些 S3 存储桶可以公开访问,默认情况下,SSM Agent 使用 HTTP
调用连接到这些存储桶。
但是,如果您正在 Systems Manager 操作中使用虚拟私有云(VPC)端点,则必须在 Systems Manager 的 Amazon Elastic Compute Cloud(Amazon EC2)实例配置文件中提供显式权限,或者在混合和多云环境中的非 EC2 计算机的服务角色中提供。否则,资源无法访问这些公有存储桶。
要在使用 VPC 端点时授予这些存储桶的托管式节点访问权限,您需要创建一个自定义 Amazon S3 权限策略,然后将其附加到您的实例配置文件(适用于 EC2 实例)或服务角色(适用于非 EC2 托管式节点)。
有关在 Systems Manager 操作中使用虚拟私有云 (VPC) 端点的信息,请参阅创建 VPC 端点。
注意
这些权限仅提供对 SSM Agent所需的 Amazon 托管存储桶的访问。它们不提供其他 Amazon S3 操作所需的权限。它们也不提供您自己的 S3 存储桶的权限。
有关更多信息,请参阅以下主题:
所需的存储桶权限
下表介绍了对于 Systems Manager 操作 SSM Agent 可能需要访问的每个 S3 存储桶。
注意
region
表示 Amazon Systems Manager 支持的 Amazon Web Services 区域 的标识符,例如 us-east-2
对应美国东部(俄亥俄)区域。有关支持的 region
值的列表,请参阅《Amazon Web Services 一般参考》 中的 Systems Manager service endpoints 的 Region 列。
SSM Agent 所需的 Amazon S3 权限
S3 存储桶 ARN | 描述 |
---|---|
|
需要一些仅支持 Windows Server 操作系统的 SSM 文档,还需要一些用于跨平台支持,例如 |
|
更新 SSM Agent安装所必需的。这些存储桶包含 SSM Agent安装软件包,以及 AWS-UpdateSSMAgent 文档和插件引用的安装清单。如果未提供这些权限,则 SSM Agent 会发出 HTTP 调用以下载更新。 |
|
使用 2.2.45.0 之前的 SSM Agent 版本运行 SSM 文档 |
|
提供对由版本 2.2.45.0 或更高版本的 SSM Agent使用的分发服务的访问权限。此服务用于运行文档 此权限是所有 Amazon Web Services 区域 的必需权限,非洲(开普敦)区域 (af-south-1) 和欧洲(米兰)区域 (eu-south-1) 除外。 |
|
提供对由版本 2.2.45.0 或更高版本的 SSM Agent使用的分发服务的访问权限。此服务用于运行 SSM 文档 此权限仅对于非洲(开普敦)区域 (af-south-1) 和欧洲(米兰)区域 (eu-south-1)为必需权限。 |
|
提供对 S3 存储桶的访问权限,其中包含由 Amazon 所有的 Amazon Systems Manager 的 Distributor 功能的软件包。 |
|
提供对包含补丁基准快照的 S3 存储桶的访问权限。如果您使用下列 SSM 文档,则这是必需的:
注意仅在中东(巴林)区域 (me-south-1) 中,此 S3 存储桶将使用其他命名约定。仅对于此 Amazon Web Services 区域,改用以下存储桶。
仅在非洲(开普敦)区域 (af-south-1) 中,此 S3 存储桶使用其他命名约定。仅对于此 Amazon Web Services 区域,改用以下存储桶。
|
对于 Linux 和 Windows Server 托管式节点: 对于 macOS 的 Amazon EC2 实例: |
提供对 S3 存储桶的访问权限,该存储桶包含与某些 Systems Manager 文档(SSM 文档)结合使用所需的模块。例如:
异常几个 Amazon Web Services 区域 中的 S3 存储桶名称使用扩展命名约定,如他们的 ARN 所示。对于这些区域,改用以下 ARN:
SSM 文档下面是存储在这些存储桶中的一些常用 SSM 文档。 In
In
|
示例
以下示例演示了如何提供对美国东部(俄亥俄)区域 (us-east-2) 中 Systems Manager 操作所需的 S3 存储桶的访问权限。在大多数情况下,仅当使用 VPC 端点时,才需要在实例配置文件或服务角色中显式提供这些权限。
重要
我们建议您避免在该策略中使用通配符 (*) 以替代特定区域。例如,使用 arn:aws:s3:::aws-ssm-us-east-2/*
而不使用 arn:aws:s3:::aws-ssm-*/*
。使用通配符可能会提供对您不打算授予访问权限的 S3 存储桶的访问。如果要将实例配置文件用于多个区域,我们建议每个区域重复使用第一个 Statement
块。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }