AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

为配置合规性创建资源数据同步

您可以使用 Systems Manager 资源数据同步将来自所有托管实例的合规性数据发送到目标 Amazon S3 存储桶。在创建同步时,可以指定多个 AWS 账户、AWS 区域和您的本地混合环境的托管实例。收集新的合规性数据后,资源数据同步自动更新集中式数据。所有合规性数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。为配置合规性配置资源数据同步是一次性操作。

下图显示资源数据同步如何将来自不同账户、区域和您的混合环境的所有数据聚合到一个中央存储库。

 SSM 配置合规性的资源数据同步

通过使用 Amazon EC2 控制台,使用以下程序创建配置合规性的资源数据同步。

创建和配置一个 Amazon S3 存储桶用于资源数据同步

  1. Open the Amazon S3 console at https://console.amazonaws.cn/s3/.

  2. 创建用来存储聚合清单数据的存储桶。有关更多信息,请参阅 Amazon Simple Storage Service Getting Started Guide 中的创建存储桶。请记下存储桶名称和创建此存储桶的 AWS 区域。

  3. 选择 Permissions 选项卡,然后选择 Bucket Policy

  4. 将下面的存储桶策略复制并粘贴到策略编辑器中。使用您创建的 Amazon S3 存储桶的名称和有效的 AWS 账户 ID 替换 Bucket-NameAccount-ID。或者,使用 Amazon S3 前缀 (子目录) 的名称替换 Bucket-Prefix。如果您未创建前缀,则从该策略的 ARN 中删除 Bucket-Prefix/。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::Bucket-Name" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::Bucket-Name/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }

创建资源数据同步 ()

  1. https://console.www.amazonaws.cn/systems-manager/ 上打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择托管实例

    -或者-

    如果 AWS Systems Manager 主页首先打开,请选择菜单图标 ( ) 以打开导航窗格,然后选择 Managed Instances

  3. 选择 Resource Data Syncs,然后选择 Create resource data sync

  4. Sync name 字段中,键入同步配置的名称。

  5. Bucket name 字段中,键入在此程序开始时创建的 Amazon S3 存储桶的名称。

  6. (可选) 在 Bucket prefix 字段中,键入 Amazon S3 存储桶前缀 (子目录) 的名称。

  7. Bucket region 字段中,如果创建的 Amazon S3 存储桶位于当前 AWS 区域,则选择 This region。如果存储桶位于不同的 AWS 区域,则选择 Another region,然后键入该区域的名称。

    注意

    如果同步和目标 Amazon S3 存储桶位于不同区域,您可能需要支付数据传输价格。有关更多信息,请参阅 Amazon S3 定价

  8. 选择 Create