SSM Agent 与 Amazon 托管 S3 存储桶进行通信 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

SSM Agent 与 Amazon 托管 S3 存储桶进行通信

在执行各种 Systems Manager 操作过程中,Amazon Systems Manager Agent (SSM Agent) 将访问许多 Amazon Simple Storage Service (Amazon S3) 存储桶。这些 S3 存储桶可以公开访问,默认情况下,SSM Agent 使用 HTTP 调用连接到这些存储桶。

但是,如果您正在 Systems Manager 操作中使用 Virtual Private Cloud (VPC) 端点,则必须在 Systems Manager 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例配置文件中提供显式权限,或者在混合环境中的实例的服务角色中提供。否则,资源无法访问这些公有存储桶。

要在使用 VPC 终端节点时授予托管式节点对这些存储桶的访问权限,您需要创建一个自定义 Amazon S3 权限策略,然后将其附加到您的实例配置文件(EC2 实例)或服务角色(混合环境中的 Amazon IoT Greengrass 核心设备、本地服务器、边缘设备和虚拟机)。

注意

这些权限仅提供对 SSM Agent所需的 Amazon 托管存储桶的访问。它们不提供其他 Amazon S3 操作所需的权限。它们也不提供您自己的 S3 存储桶的权限。

有关更多信息,请参阅以下主题:

所需的存储桶权限

下表介绍了对于 Systems Manager 操作 SSM Agent 可能需要访问的每个 S3 存储桶。

注意

region 表示 Amazon Systems Manager 支持的 Amazon Web Services 区域 的标识符,例如 us-east-2 对应美国东部(俄亥俄)区域。有关受支持的 region 值的列表,请参阅 Amazon Web Services 一般参考中的 Systems Manager 服务终端节点中的 Region(区域)列。

SSM Agent 所需的 Amazon S3 权限

S3 存储桶 ARN 说明

arn:aws:s3:::aws-windows-downloads-region/*

对于仅支持 Windows 操作系统的某些 SSM 文档为必需项。

arn:aws:s3:::amazon-ssm-region/*

更新 SSM Agent安装所必需的。这些存储桶包含 SSM Agent安装软件包,以及 AWS-UpdateSSMAgent 文档和插件引用的安装清单。如果未提供这些权限,则 SSM Agent 会发出 HTTP 调用以下载更新。

arn:aws:s3:::amazon-ssm-packages-region/*

提供对由版本 2.2.45.0 或更高版本的 SSM Agent使用的分发服务的访问权限。此服务用于运行 SSM 文档 AWS-ConfigureAWSPackage

此权限是所有 Amazon Web Services 区域 的必需权限,非洲(开普敦)区域 (af-south-1) 和欧洲(米兰)区域 (eu-south-1) 除外

arn:aws:s3:::region-birdwatcher-prod/*

使用 2.2.45.0 之前的 SSM Agent 版本运行 SSM 文档 AWS-ConfigureAWSPackage 时必需。

arn:aws:s3:::aws-ssm-distributor-file-region/*

提供对由版本 2.2.45.0 或更高版本的 SSM Agent使用的分发服务的访问权限。此服务用于运行 SSM 文档 AWS-ConfigureAWSPackage

此权限对于非洲(开普敦)区域 (af-south-1) 和欧洲(米兰)区域 (eu-south-1)为必需权限。

arn:aws:s3:::aws-ssm-document-attachments-region/*

提供对 S3 存储桶的访问权限,其中包含由 Amazon 所有的 Amazon Systems Manager 的 Distributor 功能的软件包。

arn:aws:s3:::patch-baseline-snapshot-region/*

提供对包含补丁基准快照的 S3 存储桶的访问权限。如果您使用下列 SSM 文档,则这是必需的:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline(原有 SSM 文档)

注意

仅在中东(巴林)区域 (me-south-1) 中,此 S3 存储桶将使用其他命名约定。仅对于此 Amazon Web Services 区域,改用以下存储桶。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

仅在非洲(开普敦)区域 (af-south-1) 中,此 S3 存储桶使用其他命名约定。仅对于此 Amazon Web Services 区域,改用以下存储桶。

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

对于 Linux 和 Windows Server 托管式节点:arn:aws:s3:::aws-ssm-region/*

对于 macOS 的 Amazon EC2 实例:arn:aws:s3:::aws-patchmanager-macos-region/*

提供对 S3 存储桶的访问权限,该存储桶包含与某些 Systems Manager 文档(SSM 文档)结合使用所需的模块。例如:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

异常

几个 Amazon Web Services 区域 中的 S3 存储桶名称使用扩展命名约定,如他们的 ARN 所示。对于这些区域,改用以下 ARN:

  • 中东(巴林)区域 (me-south-1):aws-patch-manager-me-south-1-a53fc9dce

  • 非洲(开普敦)区域 (af-south-1):aws-patch-manager-af-south-1-bdd5f65a9

  • 欧洲(米兰)区域 (eu-south-1):aws-patch-manager-eu-south-1-c52f3f594

  • 亚太地区(大阪)区域 (ap-northeast-3):aws-patch-manager-ap-northeast-3-67373598a

SSM 文档

下面是存储在这些存储桶中的一些常用 SSM 文档。

In arn:aws:s3:::aws-ssm-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

In arn:aws:s3:::aws-patchmanager-macos-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

示例

以下示例演示了如何提供对美国东部(俄亥俄)区域 (us-east-2) 中 Systems Manager 操作所需的 S3 存储桶的访问权限。在大多数情况下,仅当使用 VPC 端点时,才需要在实例配置文件或服务角色中显式提供这些权限。

重要

我们建议您避免在该策略中使用通配符 (*) 以替代特定区域。例如,使用 arn:aws:s3:::aws-ssm-us-east-2/* 而不使用 arn:aws:s3:::aws-ssm-*/*。使用通配符可能会提供对您不打算授予访问权限的 S3 存储桶的访问。如果要将实例配置文件用于多个区域,我们建议每个区域重复使用第一个 Statement 块。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }