Amazon Systems Manager 中的数据边界 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager 中的数据边界

数据边界是 Amazon 环境中的一组预防性防护机制,可帮助确保只有来自预期网络和资源的可信身份才能访问您的数据。在实施数据边界控制时,可能需要包括 Systems Manager 代表您访问的 Amazon 服务自有资源的例外情况。

示例场景:SSM 文档类别 S3 存储桶

Systems Manager 访问 Amazon 托管的 S3 存储桶,以检索 Amazon Systems Manager 文档 的文档类别信息。此存储桶包含有关文档类别的元数据,可帮助在控制台中组织和分类 SSM 文档。

资源 ARN 模式

arn:aws:s3:::ssm-document-categories-region

区域示例:

  • arn:aws:s3:::ssm-document-categories-us-east-1

  • arn:aws:s3:::ssm-document-categories-us-west-2

  • arn:aws:s3:::ssm-document-categories-eu-west-1

  • arn:aws:s3:::ssm-document-categories-ap-northeast-1

访问时

当您在 Systems Manager 控制台中查看 SSM 文档或使用检索文档元数据和类别的 API 时,可以访问此资源。

存储的数据

存储桶包含带有文档类别定义和元数据的 JSON 文件。此数据为只读数据,不包含客户特定信息。

使用的身份

Systems Manager 使用 Amazon 服务凭证代表您的请求访问此资源。

所需的权限

对存储桶内容的 s3:GetObject

数据边界策略注意事项

使用具有 aws:ResourceOrgID 等条件的服务控制策略(SCP)或 VPC 端点策略实施数据边界控制时,需要为 Systems Manager 所需的 Amazon 服务自有资源创建例外情况。

例如,如果您使用具有 aws:ResourceOrgID 的 SCP 来限制对组织外部资源的访问,则需要为 SSM 文档类别存储桶添加例外情况。

该策略需要访问组织外部的资源,但要包含对相应 S3 存储桶的例外情况,以便 Systems Manager 能够继续正常运行。

同样,如果您使用 VPC 端点策略来限制 S3 访问,则需要确保可通过您的 VPC 端点访问 SSM 文档类别存储桶。

更多信息

有关 Amazon 中的数据边界的更多信息,请参阅以下主题: