Amazon Systems Manager 中的数据边界 - Amazon Systems Manager
Systems Manager 访问的 Amazon 服务自有资源数据边界策略注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager 中的数据边界

数据边界是 Amazon 环境中的一组预防性防护机制,可帮助确保只有来自预期网络和资源的可信身份才能访问您的数据。在实施数据边界控制时,可能需要包括 Systems Manager 代表您访问的 Amazon 服务自有资源的例外情况。

有关数据边界的更多信息,请参阅 Data perimeters on Amazon

Systems Manager 访问的 Amazon 服务自有资源

Systems Manager 访问下面列出的 Amazon 服务自有资源以提供功能。

SSM 文档类别 S3 存储桶

Systems Manager 访问 Amazon 托管的 S3 存储桶,以检索 Amazon Systems Manager 文档 的文档类别信息。此存储桶包含有关文档类别的元数据,可帮助在控制台中组织和分类 SSM 文档。

资源 ARN 模式

arn:aws:s3:::ssm-document-categories-region

区域示例:

  • arn:aws:s3:::ssm-document-categories-us-east-1

  • arn:aws:s3:::ssm-document-categories-us-west-2

  • arn:aws:s3:::ssm-document-categories-eu-west-1

  • arn:aws:s3:::ssm-document-categories-ap-northeast-1

访问时

当您在 Systems Manager 控制台中查看 SSM 文档或使用检索文档元数据和类别的 API 时,可以访问此资源。

存储的数据

存储桶包含带有文档类别定义和元数据的 JSON 文件。此数据为只读数据,不包含客户特定信息。

使用的身份

Systems Manager 使用 Amazon 服务凭证代表您的请求访问此资源。

所需的权限

对存储桶内容的 s3:GetObject

数据边界策略注意事项

使用具有 aws:ResourceOrgID 等条件的服务控制策略(SCP)或 VPC 端点策略实施数据边界控制时,需要为 Systems Manager 所需的 Amazon 服务自有资源创建例外情况。

例如,如果您使用具有 aws:ResourceOrgID 的 SCP 来限制对组织外部资源的访问,则需要为 SSM 文档类别存储桶添加例外情况:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictToOrgResources",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceOrgID": "o-example1234567"
        },
        "ForAllValues:StringNotLike": {
          "aws:ResourceArn": [
            "arn:aws:s3:::ssm-document-categories*"
          ]
        }
      }
    }
  ]
}

此策略拒绝访问组织外部的资源,但符合 ssm-document-categories* 模式的所有 S3 存储桶除外,从而允许 Systems Manager 继续正常运行。

同样,如果您使用 VPC 端点策略来限制 S3 访问,则需要确保可通过您的 VPC 端点访问 SSM 文档类别存储桶。