为 Compliance 创建资源数据同步 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为 Compliance 创建资源数据同步

您可以使用 Amazon Systems Manager 中的资源数据同步功能,将来自所有托管式节点的合规性数据发送到目标 Amazon Simple Storage Service (Amazon S3) 存储桶。在创建同步时,可以指定来自多个 Amazon Web Services 账户、Amazon Web Services 区域 和本地混合环境的托管式节点。收集新的合规性数据后,资源数据同步自动更新集中式数据。所有合规性数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。为 Compliance 配置资源数据同步是一次性操作。

通过使用 Amazon Web Services Management Console,使用以下过程为 Compliance 创建资源数据同步。

创建和配置一个 Amazon S3 存储桶用于资源数据同步(控制台)

  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 创建用来存储聚合合规性数据的存储桶。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶。请记下存储桶名称和创建此存储桶的 Amazon Web Services 区域。

  3. 打开存储桶,选择 Permissions (权限) 选项卡,然后选择 Bucket Policy (存储桶策略)

  4. 将下面的存储桶策略复制并粘贴到策略编辑器中。将 DOC-EXAMPLE-BUCKETAccount-ID 分别替换为您创建的 Amazon S3 存储桶的名称和有效的 Amazon Web Services 账户 ID。或者,使用 Amazon S3 前缀(子目录)的名称替换 Bucket-Prefix。如果您未创建前缀,则从该策略的 ARN 中删除 Bucket-Prefix/。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }

创建资源数据同步

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Fleet Manager

    -或者-

    如果 Amazon Systems Manager 主页首先打开,选择菜单图标 ( ) 以打开导航窗格,然后在导航窗格中选择 Fleet Manager

  3. 选择 Account management (账户管理)Resource Data Syncs (资源数据同步),然后选择 Create resource data sync (创建资源数据同步)

  4. Sync name (同步名称) 字段中,输入同步配置的名称。

  5. Bucket name (存储桶名称) 字段中,输入您在此过程开始时创建的 Amazon S3 存储桶的名称。

  6. (可选)在 Bucket prefix (存储桶前缀)字段中,输入 Amazon S3 存储桶前缀(子目录)的名称。

  7. Bucket region (存储桶区域) 字段中,如果您创建的 Amazon S3 存储桶位于当前的 Amazon Web Services 区域中,请选择 This region (此区域)。如果存储桶位于其他 Amazon Web Services 区域中,则请选择 Another region (其他区域),然后输入该区域的名称。

    注意

    如果同步和目标 Amazon S3 存储桶位于不同区域,您可能需要支付数据传输价格。有关更多信息,请参阅 Amazon S3 定价

  8. 选择 Create (创建)