Communications de l'SSM Agent avec des compartiments S3 gérés par AWS

Au cours de l'exécution de diverses opérations de Systems Manager, AWS Systems Manager Agent (SSM Agent) accède à un certain nombre de compartiments Amazon Simple Storage Service (Amazon S3). Ces compartiments S3 sont accessibles au public et, par défaut, l'SSM Agent s'y connecte en utilisant des appels HTTP.

Toutefois, si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans le cadre de vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'instance Amazon Elastic Compute Cloud (Amazon EC2) pour Systems Manager, ou dans un rôle de service pour les machines non EC2 dans un environnement hybride et multicloud. Sinon, vos ressources ne peuvent pas accéder à ces compartiments publics.

Pour accorder à vos nœuds gérés l'accès à ces compartiments lorsque vous utilisez un point de terminaison d'un VPC, vous créez une politique d'autorisations Amazon S3 personnalisée, puis l'attachez à votre profil d'instance (pour les instances EC2) ou à votre fonction du service (pour les nœuds gérés non EC2).

Pour plus d'informations sur l'utilisation d'un point de terminaison de cloud privé virtuel (VPC) dans vos opérations Systems Manager, consultez la rubrique Créer des points de terminaison d'un VPC.

Note

Ces autorisations fournissent uniquement l'accès aux compartiments AWS gérés requis parSSM Agent. Elles ne fournissent pas les autorisations qui sont nécessaires pour les autres opérations Amazon S3. Elles ne fournissent pas non plus l'autorisation sur vos propres compartiments S3.

Pour plus d'informations, consultez les rubriques suivantes :

• Configurer des autorisations d'instance pour Systems Manager

• Créer un rôle de service IAM pour un environnement hybride

Autorisations de compartiment nécessaires

Le tableau suivant décrit chacun des compartiments S3 auxquels l'SSM Agent peut avoir besoin d'accéder pour des opérations Systems Manager.

Note

région représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

Autorisations Amazon S3 requises par l'SSM Agent

ARN de compartiment S3	Description
arn:aws:s3:::aws-windows-downloads-region/*	Obligatoire pour certains documents SSM qui ne prennent en charge que les systèmes d'exploitation Windows Server, ainsi que pour d'autres pour la prise en charge multiplateforme, tels que AWSEC2-ConfigureSTIG.
arn:aws:s3:::amazon-ssm-region/*	Requise pour la mise à jour des installations de l'SSM Agent. Ces compartiments contiennent les packages d'installation de l'SSM Agent, et l'installation des manifestes qui sont référencés par le document et le plug-in AWS-UpdateSSMAgent. Si ces autorisations ne sont pas fournies, l'SSM Agent effectue un appel HTTP pour télécharger la mise à jour.
arn:aws:s3:::amazon-ssm-packages-region/*	Requise pour utiliser les versions de l'SSM Agent antérieures à la version 2.2.45.0 en vue d'exécuter le document SSM AWS-ConfigureAWSPackage.
arn:aws:s3:::region-birdwatcher-prod/*	Permet d'accéder au service de distribution utilisé par la version 2.2.45.0 et les versions ultérieures de l'SSM Agent. Ce service est utilisé pour exécuter le document AWS-ConfigureAWSPackage. Cette autorisation est nécessaire pour tous Régions AWS sauf pour la région Afrique (Cape Town) (af-south-1) et pour la région Europe (Milan) (eu-south-1).
arn:aws:s3:::aws-ssm-distributor-file-region/*	Permet d'accéder au service de distribution utilisé par la version 2.2.45.0 et les versions ultérieures de l'SSM Agent. Ce service est utilisé pour exécuter le document SSM AWS-ConfigureAWSPackage. Cette autorisation est nécessaire uniquement pour la région Afrique (Le Cap) (af-sud-1) et la région Europe (Milan) (eu-sud 1).
arn:aws:s3:::aws-ssm-document-attachments-region/*	Fournit un accès au compartiment S3 contenant les packages pourDistributor, une fonctionnalité de AWS Systems Manager, détenus par AWS.
arn:aws:s3:::patch-baseline-snapshot-region/*	Fournit l'accès au compartiment S3 contenant les instantanés de référentiel de correctifs. Ceci est obligatoire si vous utilisez l'un des documents SSM suivants : AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation AWS-RunPatchBaselineWithHooks AWS-ApplyPatchBaseline (un document SSM hérité) Note Dans la région Moyen-Orient (Bahreïn) (me-south-1) uniquement, ce compartiment S3 utilise une convention de dénomination différente. Pour cette Région AWS uniquement, utilisez plutôt le compartiment suivant. patch-baseline-snapshot-me-south-1-uduvl7q8 Dans la région Afrique (Le Cap) (me-south-1) uniquement, ce compartiment S3 utilise une convention de dénomination différente. Pour cette Région AWS uniquement, utilisez plutôt le compartiment suivant. patch-baseline-snapshot-af-south-1-tbxdb5b9
Pour les nœuds gérés Linux et Windows Server : arn:aws:s3:::aws-ssm-region/* Pour les instances Amazon EC2macOS : arn:aws:s3:::aws-patchmanager-macos-region/*	Fournit l'accès au compartiment S3 contenant les modules requis à utiliser avec certains documents Systems Manager (documents SSM). Par exemple : arn:aws:s3:::aws-ssm-us-east-2/* aws-patchmanager-macos-us-east-2/* Exceptions Dans certains cas, les noms des compartiments S3 Régions AWS utilisent une convention de dénomination étendue, comme le montrent leurs ARN. Pour ces régions, utilisez plutôt les ARN suivants : Middle East (Bahrain) Region (me-south-1)) : aws-patch-manager-me-south-1-a53fc9dce Africa (Cape Town) Region (af-south-1) : aws-patch-manager-af-south-1-bdd5f65a9 Europe (Milan) Region (eu-south-1) : aws-patch-manager-eu-south-1-c52f3f594 Asia Pacific (Osaka) Region (ap-northeast-3) : aws-patch-manager-ap-northeast-3-67373598a Documents SSM Voici quelques documents SSM couramment utilisés, stockés dans ces compartiments. Dans arn:aws:s3:::aws-ssm-region/: AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation AWS-RunPatchBaselineWithHooks AWS-InstanceRebootWithHooks AWS-ConfigureWindowsUpdate AWS-FindWindowsUpdates AWS-PatchAsgInstance AWS-PatchInstanceWithRollback AWS-UpdateSSMAgent AWS-UpdateEC2Config Dans arn:aws:s3:::aws-patchmanager-macos-region/: AWS-RunPatchBaseline AWS-RunPatchBaselineAssociation AWS-RunPatchBaselineWithHooks AWS-InstanceRebootWithHooks AWS-PatchAsgInstance AWS-PatchInstanceWithRollback

Exemple

L'exemple suivant illustre comment fournir l'accès aux compartiments S3 requis pour les opérations Systems Manager dans la région USA Est (Ohio) (us-east-2). Dans la plupart des cas, vous devez fournir ces autorisations explicitement dans un profil d'instance ou un rôle de service uniquement lors de l'utilisation d'un point de terminaison de VPC.

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier bloc Statement pour chaque région.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*",
                "arn:aws:s3:::aws-ssm-us-east-2/*",
                "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*"
            ]
        }
    ]
}