Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
S3-Bucket-Richtlinien für die einheitliche Systems Manager Manager-Konsole
Dieses Thema umfasst die Amazon S3 S3-Bucket-Richtlinien, die von Systems Manager erstellt wurden, wenn Sie eine Organisation oder ein einzelnes Konto in die einheitliche Systems Manager Manager-Konsole einbinden.
Warnung
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn eine Organisation in Systems Manager integriert wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyHTTPRequests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::", "arn:aws:s3:::
bucket-name
/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "DenyNonSigV4Requests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name
", "arn:aws:s3:::bucket-name
/*" ], "Condition": { "StringNotEquals": { "s3:SignatureVersion": "AWS4-HMAC-SHA256" } } }, { "Sid": "AllowAccessLog", "Effect": "Allow", "Principal": { "Service": "logging.s3.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name
/access-logs/*", "Condition": { "StringEquals": { "aws:SourceAccount": "operational-account-id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:s3:::bucket-name
" } } }, { "Sid": "AllowCrossAccountRead", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::bucket-name
/actions/*/${aws:PrincipalAccount}/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id
" } } }, { "Sid": "AllowCrossAccountWrite", "Effect": "Allow", "Principal": "*", "Action": [ "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-account-id-home-region
", "arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-account-id-home-region
", "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-account-id-home-region
", "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-account-id-home-region
" ] } } }, { "Sid": "AllowCrossAccountListUnderAccountOwnPrefix", "Effect": "Allow", "Principal": "*", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::bucket-name
", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id
" }, "StringLike": { "s3:prefix": "*/${aws:PrincipalAccount}/*" } } }, { "Sid": "AllowCrossAccountGetConfigWithinOrganization", "Effect": "Allow", "Principal": "*", "Action": "s3:GetEncryptionConfiguration", "Resource": "arn:aws:s3:::bucket-name
", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id
" } } } ] }
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn ein einzelnes Konto in Systems Manager integriert wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyHTTPRequests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::
bucket-name
", "arn:aws:s3:::bucket-name
/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "DenyNonSigV4Requests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name
", "arn:aws:s3:::bucket-name
/*" ], "Condition": { "StringNotEquals": { "s3:SignatureVersion": "AWS4-HMAC-SHA256" } } } ] }