Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS - AWS Systems Manager
Autorizzazioni dei bucket necessarieEsempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS

Durante l'esecuzione di varie operazioni di Systems Manager, AWS Systems Manager Agent (SSM Agent) accede a diversi bucket Amazon Simple Storage Service (Amazon S3). Questi bucket S3 sono accessibili pubblicamente e, per impostazione predefinita, SSM Agent si connette con essi usando chiamate HTTP.

Tuttavia, se utilizzi un endpoint di cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo di istanza Amazon Elastic Compute Cloud (Amazon EC2) per Systems Manager o in un ruolo di servizio per macchine non EC2 in un ambiente ibrido e multicloud. In caso contrario, le risorse non possono accedere a questi bucket pubblici.

Per concedere l'accesso dei nodi gestiti a questi bucket quando utilizzi un endpoint VPC, devi creare una policy di autorizzazioni Amazon S3 personalizzata e collegarla al profilo dell'istanza (per le istanze EC2) o al ruolo del servizio (per i nodi gestiti non EC2).

Per informazioni sull'utilizzo di un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, consulta Creazione di endpoint VPC.

Nota

Queste autorizzazioni forniscono solo l'accesso ai bucket gestiti richiesti da. AWS SSM Agent Non forniscono le autorizzazioni necessarie per altre operazioni Amazon S3. Inoltre, non offrono l'autorizzazione per i propri bucket S3.

Per ulteriori informazioni, consulta i seguenti argomenti:

Autorizzazioni dei bucket necessarie

La tabella seguente descrive ciascuno dei bucket S3 di cui SSM Agent potrebbe aver bisogno per accedere alle operazioni di Systems Manager.

Nota

region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori region supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

Autorizzazioni di Amazon S3 richieste da SSM Agent

ARN di bucket S3 Descrizione

arn:aws:s3:::aws-windows-downloads-region/*

Richiesto per alcuni documenti SSM che supportano solo i sistemi operativi Windows Server, oltre ad alcuni per il supporto multipiattaforma, come. AWSEC2-ConfigureSTIG.

arn:aws:s3:::amazon-ssm-region/*

 Necessario per l'aggiornamento di installazioni SSM Agent. Questi bucket contengono i pacchetti di installazione dell'SSM Agent e i file manifest a cui fanno riferimento il documento AWS-UpdateSSMAgent e il plugin. Se queste autorizzazioni non vengono fornite, l'SSM Agent effettua una chiamata HTTP per scaricare l'aggiornamento.

arn:aws:s3:::amazon-ssm-packages-region/*

Necessario per l'utilizzo di versioni di SSM Agent precedenti alla 2.2.45.0 per eseguire il documento AWS-ConfigureAWSPackage.

arn:aws:s3:::region-birdwatcher-prod/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento AWS-ConfigureAWSPackage.

Questa autorizzazione è necessaria per tutti Regioni AWS tranne la regione Africa (Città del Capo) (af-south-1) e la regione Europa (Milano) (eu-south-1).

arn:aws:s3:::aws-ssm-distributor-file-region/*

Fornisce l'accesso al servizio di distribuzione utilizzato dalla versione 2.2.45.0 e successive dell'SSM Agent. Questo servizio è utilizzato per eseguire il documento SSM AWS-ConfigureAWSPackage.

Questa autorizzazione è necessaria solo per la regione Africa (Città del Capo) (af-sud-1) e la regione Europa (Milano) (eu-sud-1).

arn:aws:s3:::aws-ssm-document-attachments-region/*

Fornisce l'accesso al bucket S3 contenente i pacchetti perDistributor, una funzionalità di, di proprietà di. AWS Systems Manager AWS

arn:aws:s3:::patch-baseline-snapshot-region/*

Fornisce l'accesso al bucket S3 contenente snapshot della base di patch. È necessario se si utilizza uno dei seguenti documenti SSM:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline (un documento SSM legacy)

Nota

Solo nella regione Medioriente (Bahrain) (me-south-1), questo bucket S3 utilizza una diversa convenzione di denominazione. Solo per questa Regione AWS , utilizzare invece il bucket seguente.

  • patch-baseline-snapshot-me-south-1-uduvl7q8

Solo nella regione Africa (Città del Capo) (me-south-1), questo bucket S3 utilizza una convenzione di denominazione diversa. Solo per questa Regione AWS , utilizzare invece il bucket seguente.

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

Per nodi gestiti dal Linux e Windows Server: arn:aws:s3:::aws-ssm-region/*

Per le istanze Amazon EC2 per macOS: arn:aws:s3:::aws-patchmanager-macos-region/*

Fornisce l'accesso al bucket S3 contenente i moduli necessari per l'utilizzo con determinati documenti di Systems Manager (documenti SSM). Ad esempio:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

Eccezioni

In alcuni casi, i nomi dei bucket S3 Regioni AWS utilizzano una convenzione di denominazione estesa, come dimostrato dai rispettivi ARN. Per queste regioni, utilizzare invece i seguenti ARN:

  • Regione Medio Oriente (Bahrein) (me-south-1): aws-patch-manager-me-south-1-a53fc9dce

  • Regione Africa (Città del Capo) (af-south-1): aws-patch-manager-af-south-1-bdd5f65a9

  • Regione Europa (Milano) (eu-south-1): aws-patch-manager-eu-south-1-c52f3f594

  • Regione Asia Pacifico (Osaka) (ap-northeast-3): aws-patch-manager-ap-northeast-3-67373598a

Documenti SSM

Di seguito sono riportati alcuni documenti SSM comunemente utilizzati memorizzati in questi bucket.

In arn:aws:s3:::aws-ssm-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

In arn:aws:s3:::aws-patchmanager-macos-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

Esempio

L'esempio seguente mostra come fornire l'accesso al bucket S3 richiesto per le operazioni di Systems Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). Nella maggior parte dei casi, è necessario fornire queste autorizzazioni esplicitamente in un profilo dell'istanza o in un ruolo di servizio solo quando si utilizza un endpoint VPC.

Importante

Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::aws-ssm-us-east-2/* anziché arn:aws:s3:::aws-ssm-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se si desidera utilizzare il profilo dell'istanza per più di una regione, si consiglia di ripetere il primo elemento Statement per ogni regione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*",
                "arn:aws:s3:::aws-ssm-us-east-2/*",
                "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*"
            ]
        }
    ]
}