关于 SSM 代理的最低 S3 存储桶权限 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于 SSM 代理的最低 S3 存储桶权限

Amazon Web Services Systems Manager代理(SSM 代理)可能需要访问 Amazon Simple Storage Service (Amazon S3) 存储桶,以执行 Systems Manager 操作。这些 S3 存储桶可以公开访问。但在某些情况下,您可能需要在 Amazon Elastic Compute Cloud (Amazon EC2) 实例配置文件中提供显式权限,或者在混合环境中的实例的服务角色中提供。通常,如果您在 Systems Manager 操作中使用私有 VPC 终端节点,您必须授予这些权限。否则,资源无法访问这些公有存储桶。

要授予这些存储桶的访问权限,您需要创建一个自定义 Amazon S3 权限策略,然后将其附加到您的实例配置文件(对于 EC2 实例)或服务角色(对于混合环境中的本地服务器和虚拟机)。

对于 SSM 代理更新,如果实例配置文件不提供这些存储桶的权限,则 SSM 代理将发出 HTTP 调用以下载更新。

注意

这些权限仅提供对AmazonSSM 代理所需的托管存储桶。它们不提供其他 Amazon S3 操作所需的权限。它们也不提供您自己的 S3 存储桶的权限。

有关更多信息,请参阅以下主题:

所需权限

下表描述了使用 Systems Manager 所需的每个 Amazon S3 策略权限。

注意

区域表示Amazon Web Services 区域支持Amazon Web Services Systems Manager之外的压缩算法(例如us-east-2对于美国东部(俄亥俄)区域。有关受支持的列表区域值,请参阅区域column 中Systems Manager 服务终端节点中的Amazon Web Services 一般参考

SSM 代理所需的 Amazon S3 权限

S3 存储桶 ARN 描述
arn:aws:s3:::aws-windows-downloads-region/*

某些仅支持 Windows 操作系统的 SSM 文档所必需的。

arn:aws:s3:::amazon-ssm-region/* 更新 SSM 代理安装所必需的。这些存储桶包含 SSM 代理安装程序包,以及由AWS-UpdateSSMAgent文档和插件。如果未提供这些权限,SSM 代理会发出 HTTP 调用以下载更新。
arn:aws:s3:::amazon-ssm-packages-region/*

使用 2.2.2.45.0 之前的版本的 SSM 代理运行 SSM 文档所必需的AWS-ConfigureAWSPackage

arn:aws:s3:::region-birdwatcher-prod/*

提供对由版本 2.2.45.0 或更高版本的 SSM 代理使用的分发服务的访问权限。此服务用于运行文档 AWS-ConfigureAWSPackage

此权限是所有Amazon Web Services 区域 非洲 (开普敦) 区域 (非洲南部 1) 和欧洲 (米兰) 区域 (欧盟-南部 1).

arn:aws:s3:::aws-ssm-distributor-file-region/*

提供对由版本 2.2.45.0 或更高版本的 SSM 代理使用的分发服务的访问权限。此服务用于运行 SSM 文档AWS-ConfigureAWSPackage

需要此权限仅限非洲 (开普敦) 区域 (AF-南1) 和欧洲 (米兰) 区域 (欧盟-南 1).

arn:aws:s3:::aws-ssm-document-attachments-region/*

提供对 S3 存储桶的访问权限,该存储桶包含的权限为Amazon Web Services Systems Manager, 这些属于Amazon。

arn:aws:s3:::patch-baseline-snapshot-region/*

提供对包含补丁基准快照的 S3 存储桶的访问权限。如果您使用以下任一 SSM 文档,则需要执行此操作:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline(遗留的特别安全部门管理文件)

注意

仅在中东(巴林)地区(me- 对于这个Amazon Web Services 区域仅,改用以下存储桶。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

对于 Linux 和Windows Server实例:arn:aws:s3:::aws-ssm-region/*

对 Amazon EC2 用于macOS:arn:aws:s3:::aws-patchmanager-macos-region/*

提供对 S3 存储桶的访问权限,该存储桶包含与某些 Systems Manager 文档(SSM 文档)结合使用所需的模块。例如:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

Exceptions

在几个Amazon Web Services 区域使用扩展命名约定,如他们的 ARN 所示。对于这些区域,请改用以下 ARN:

  • 中东(巴林)区域(me-south-1)):aws-patch-manager-me-south-1-a53fc9dce

  • 非洲(开普敦)区域(af-south-1):aws-patch-manager-af-south-1-bdd5f65a9

  • 欧洲(米兰)区域(eu-south-1):aws-patch-manager-eu-south-1-c52f3f594

  • 亚太地区(大阪)区域(ap-northeast-3):aws-patch-manager-ap-northeast-3-67373598a

SSM 文档

以下是存储在这些存储桶中的一些常用 SSM 文档。

In arn:aws:s3:::aws-ssm-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

In arn:aws:s3:::aws-patchmanager-macos-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

Example

以下示例说明如何提供对美国东部 (俄亥俄) 地区 (us-east-2) 中的 Systems Manager 操作所需的 S3 存储桶的访问权限。

重要

我们建议您避免在该策略中使用通配符 (*) 以替代特定区域。例如,使用arn:aws:s3:::aws-ssm-us-east-2/*不使用arn:aws:s3:::aws-ssm-*/*。使用通配符可能会提供对您不打算授予访问权限的 S3 存储桶的访问。如果要将实例配置文件用于多个区域,我们建议每个区域重复使用第一个 Statement 块。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*" ] } ] }