Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager

Quick Setup erstellt während des Onboardingprozesses für AWS Systems Manager einen Amazon Simple Storage Service-Bucket (Amazon S3) im delegierten Administratorkonto für Organisations-Einrichtungen. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird.

Sie können Systems Manager verwenden, um Diagnosevorgänge für Ihre Flotte durchzuführen, um Fälle von fehlgeschlagenen Bereitstellungen und fehlerhaften Konfigurationen zu identifizieren. Systems Manager kann auch Fälle erkennen, in denen Konfigurationsprobleme Systems Manager daran hindern, EC2-Instances in Ihrem Konto oder Ihrer Organisation zu verwalten. Die Ergebnisse dieser Diagnosevorgänge werden in diesem Amazon-S3-Bucket gespeichert, der sowohl durch eine Verschlüsselungsmethode als auch durch eine S3-Bucket-Richtlinie geschützt ist. Informationen zu den Diagnosevorgängen, die Daten in diesen Bucket ausgeben, finden Sie unter Diagnose und Abhilfemaßnahmen.

Ändern der Bucket-Verschlüsselungsmethode

Standardmäßig verwendet der S3-Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).

Sie können stattdessen eine serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines kundseitig verwalteten Schlüssels (CMK) als Alternative zu von Amazon S3 verwalteten Schlüsseln verwenden, wie unter Umstellen auf einen vom AWS KMS-Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen erklärt.

Inhalte der Bucketrichtlinien

Die Bucket-Richtlinie verhindert, dass sich Mitgliedskonten in einer Organisation gegenseitig entdecken. Lese- und Schreibberechtigungen für den Bucket sind nur für die Diagnose- und Behebungsrollen zulässig, die für Systems Manager erstellt wurden. Die Inhalte dieser vom System generierten Richtlinien finden Sie unter S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole.

Warnung

Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.

Themen