AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

关于 SSM 代理 的最低 S3 存储桶权限

本主题提供有关资源为执行 Systems Manager 操作而可能需要访问的 Amazon Simple Storage Service (Amazon S3) 存储桶的信息。如果需要将实例配置文件或 VPC 终端节点的 Amazon S3 存储桶访问权限制为使用 Systems Manager 所需的最小权限,可在自定义策略中指定这些存储桶。

这些权限仅提供对 SSM 代理所需资源的访问权限。它们不反映其他与 Amazon S3 相关的操作所需的权限。

所需权限

下表列出了使用 Systems Manager 所需的每个 Amazon S3 存储桶策略权限。

SSM 代理所需的 Amazon S3 权限

许可 描述
arn:aws:s3:::aws-ssm-region/*

提供对 Amazon S3 存储桶的访问权限,该存储桶包含与 SSM 文档结合使用所需的模块。

arn:aws:s3:::aws-windows-downloads-region/*

一些支持 Windows 操作系统的 SSM 文档所必需的。

arn:aws:s3:::amazon-ssm-region/* 更新 SSM 代理安装所必需的。这些存储桶包含 SSM 代理安装软件包,以及 AWS-UpdateSSMAgent 文档和插件引用的安装清单。
arn:aws:s3:::amazon-ssm-packages-region/*

使用 2.2.45.0 之前的版本的 SSM 代理运行文档 AWS-ConfigureAWSPackage 所必需的。

arn:aws:s3:::region-birdwatcher-prod/*

提供对由版本 2.2.45.0 或更高版本的 SSM 代理使用的分发服务的访问权限。此服务用于运行文档 AWS-ConfigureAWSPackage

arn:aws:s3:::patch-baseline-snapshot-region/*

提供对包含补丁基准快照的 Amazon S3 存储桶的访问权限。如果您使用 AWS-RunPatchBaselineAWS-ApplyPatchBaseline 文档,这是必需的。

区域 表示 AWS Systems Manager 支持的 AWS 区域的区域标识符,如US East (Ohio) Region的 us-east-2。有关受支持区域 值的列表,请参阅 AWS General ReferenceAWS Systems Manager 区域和终端节点表主题的区域列。

示例

以下示例说明如何提供对US East (Ohio) Region (us-east-2) 中的 Systems Manager 操作所需的 Amazon S3 存储桶的访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*" ] } ] }

重要

建议您避免使用通配符 (*) 来替代此策略中的特定区域,例如使用 arn:aws:s3:::aws-ssm-*/* 替代 arn:aws:s3:::aws-ssm-us-east-2/*。这样做可以提供对您不打算授予权限的其他 Amazon S3 存储桶的访问权限。

本页内容: