Comunicaciones de SSM Agent con buckets de S3 administrados de AWS
En el curso de la realización de diversas operaciones de Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a varios buckets de Amazon Simple Storage Service (Amazon S3). Se puede acceder públicamente a estos buckets de S3 y, de forma predeterminada, SSM Agent se conecta a ellos a través de llamadas a HTTP.
Sin embargo, si utiliza un punto de conexión de nube privada virtual (VPC) en las operaciones de Systems Manager, debe conceder un permiso explícito en un perfil de instancia de Amazon Elastic Compute Cloud (Amazon EC2) para Systems Manager o en un rol de servicio para equipos que no sean de EC2 en un entorno híbrido y multinube. De lo contrario, sus recursos no puede acceder a estos buckets públicos.
Para otorgar a sus nodos administrados acceso a estos buckets cuando se utiliza un punto de conexión de VPC, cree una política de permisos de Amazon S3 personalizada y luego, adjúntela al perfil de instancia (para instancias de EC2) o al rol de servicio (para nodos administrados que no sean de EC2).
Para obtener información sobre el uso de un punto de conexión de nube privada virtual (VPC) en sus operaciones de Systems Manager, consulte Crear puntos de conexión de VPC.
nota
Estos permisos tan solo proporcionan acceso a los bukets administrados de AWS solicitados por SSM Agent. No conceden los permisos necesarios para otras operaciones de Amazon S3. Tampoco concede permiso para sus propios buckets de S3.
Para obtener más información, consulte los temas siguientes:
Contenidos
Permisos de bucket necesarios
En la siguiente tabla, se describe cada uno de los buckets de S3 a los que SSM Agent puede necesitar acceder para las operaciones de Systems Manager.
nota
region representa el identificador de una Región de AWS compatible con AWS Systems Manager, como us-east-2 para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.
Los permisos de Amazon S3 que necesita SSM Agent
| ARN del bucket de S3 | Descripción |
|---|---|
|
|
Necesario para algunos documentos SSM que solo admiten sistemas operativos Windows Server y para algunos documentos para la compatibilidad entre plataformas, como |
|
|
Se necesita para actualizar las instalaciones del SSM Agent. Estos buckets contienen los paquetes de instalación del SSM Agent y los manifiestos de instalación a los que se hace referencia en el complemento y documento AWS-UpdateSSMAgent. Si no se proporcionan estos permisos, SSM Agent realiza una llamada HTTP para descargar la actualización. |
|
|
Se necesita para utilizar versiones de SSM Agent anteriores a la 2.2.45.0 para ejecutar el documento de SSM |
|
|
Proporciona acceso al servicio de distribución utilizado por la versión 2.2.45.0 y posteriores del SSM Agent. Este servicio se utiliza para ejecutar el documento Este permiso es necesario para todas las Regiones de AWS excepto la región África (Ciudad del Cabo) (af-south-1) y la región Europa (Milán) (eu-south-1). |
|
|
Proporciona acceso al servicio de distribución utilizado por la versión 2.2.45.0 y posteriores del SSM Agent. Este servicio se utiliza para ejecutar el documento de SSM Este permiso es necesario solo para las regiones África (Ciudad del Cabo) (af-south-1) y Europa (Milán) (eu-south-1). |
|
|
Proporciona acceso al bucket de S3 que incluye los paquetes deDistributor, una capacidad de AWS Systems Manager, que son propiedad de AWS. |
|
|
Proporciona acceso al bucket de S3 que incluye las instantáneas de las líneas de base de revisiones. Es necesario si utiliza cualquiera de los siguientes documentos de SSM:
notaSolo en la región Medio Oriente (Baréin) (me-south-1), estos buckets de S3 utilizan convenciones de nomenclatura diferentes. Solo en esta Región de AWS, utilice el siguiente bucket en su lugar.
Solo en la región África (Ciudad del Cabo) (af-south-1), este bucket de S3 utiliza una convención de nomenclatura diferente. Solo en esta Región de AWS, utilice el siguiente bucket en su lugar.
|
|
Para nodos administrados de Linux y Windows Server: En instancias de Amazon EC2 para macOS: |
Proporciona acceso al bucket de S3 que incluye los módulos que es necesario utilizar con ciertos documentos de Systems Manager (documentos de SSM). Por ejemplo:
ExcepcionesEn algunas Regiones de AWS, los nombres del bucket de S3 utilizan una convención de nomenclatura extendida, como se muestra en sus ARN. En estas regiones, utilice los siguientes ARN en su lugar:
Documentos de SSMEstos son algunos documentos de SSM que suelen utilizarse y que se almacenan en estos buckets. En
En
|
Ejemplo
En el siguiente ejemplo se muestra cómo proporcionar acceso a los buckets de S3 necesarios para las operaciones de Systems Manager en la región EE. UU. Este (Ohio) (us-east-2). En la mayoría de los casos, debe proporcionar estos permisos de forma explícita en un perfil de instancias o un rol de servicio solo cuando se utiliza un punto de enlace de la VPC.
importante
Recomendamos que evite el uso de caracteres comodín (*) en lugar de regiones específicas en esta política. Por ejemplo, utilice arn:aws:s3:::aws-ssm-us-east-2/* y no arn:aws:s3:::aws-ssm-*/*. El uso de caracteres comodín podría conceder acceso a buckets de S3 a los que no quiere darlo. Si desea utilizar el perfil de instancia para más de una región, le recomendamos repetir el primer bloque de Statement de cada región.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }
