SSM Agent 與 AWS 受管 S3 儲存貯體通訊 - AWS Systems Manager

SSM Agent 與 AWS 受管 S3 儲存貯體通訊

在執行各種 Systems Manager 操作的過程中,AWS Systems Manager Agent (SSM Agent) 會存取許多 Amazon Simple Storage Service (Amazon S3) 儲存貯體。可公開存取這些 S3 儲存貯體,SSM Agent 預設使用 HTTP 呼叫連線到它們。

但是,如果您在 Systems Manager 操作中使用 Virtual Private Cloud (VPC) 端點,則必須在適用於 Systems Manager 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體設定檔中提供明確許可,或在混合環境中的執行個體的服務角色中提供明確許可。否則,您的資源無法存取這些公有儲存貯體。

若要在使用 VPC 端點時對這些儲存貯體授予受管節點存取權,您可以建立自訂 Amazon Simple Storage Service (Amazon S3) 許可政策,然後將它連接到您的執行個體設定檔 (適用於 EC2 執行個體) 或服務角色 (適用於 AWS IoT Greengrass 核心裝置和混合環境中的內部部署伺服器、邊緣裝置和虛擬機器)。

注意

這些許可僅提供 SSM Agent 所需的 AWS 受管儲存貯體存取權限。這些許可不提供其他 Amazon Simple Storage Service (Amazon S3) 操作所需的許可。這些許可也不提供自有 S3 儲存貯體的許可。

如需詳細資訊,請參閱下列主題:

所需的儲存貯體許可

下表說明 SSM Agent 可能需要存取的每個 S3 儲存貯體,以便進行 Systems Manager 操作。

注意

region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符,例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需 region 值的清單,請參閱《Amazon Web Services 一般參考》中 Systems Manager 服務端點中的 Region (區域) 資料欄。

SSM Agent 需要的 Amazon Simple Storage Service (Amazon S3) 許可

S3 儲存貯體 ARN 描述

arn:aws:s3:::aws-windows-downloads-region/*

僅支援 Windows 作業系統的某些 SSM 文件的必要項目。

arn:aws:s3:::amazon-ssm-region/*

更新 SSM Agent 安裝的必要項目。這些儲存貯體包含 SSM Agent 安裝套件及 AWS-UpdateSSMAgent 文件和外掛程式所參考的安裝資訊清單。如果沒有提供這些許可,則 SSM Agent 會進行 HTTP 呼叫以下載更新。

arn:aws:s3:::amazon-ssm-packages-region/*

使用 2.2.45.0 之前版本的 SSM Agent 來執行 SSM 文件 AWS-ConfigureAWSPackage 的必要項目。

arn:aws:s3:::region-birdwatcher-prod/*

提供 2.2.45.0 版本和更高版本的 SSM Agent 所使用分發服務的存取權。此服務是用來執行文件 AWS-ConfigureAWSPackage

所有 AWS 區域 都需要此許可,非洲 (開普敦) 區域 (af-south-1) 和歐洲 (米蘭) 區域 (eu-south-1) 除外

arn:aws:s3:::aws-ssm-distributor-file-region/*

提供 2.2.45.0 版本和更高版本的 SSM Agent 所使用分發服務的存取權。此服務用於執行 SSM 文件 AWS-ConfigureAWSPackage

非洲 (開普敦) 區域 (af-south-1) 和歐洲 (米蘭) 區域 (eu-south-1) 需要此許可。

arn:aws:s3:::aws-ssm-document-attachments-region/*

允許存取包含 Distributor (AWS Systems Manager 的一個功能) 套件的 S3 儲存貯體,它們由 AWS 所有。

arn:aws:s3:::patch-baseline-snapshot-region/*

允許存取包含修補基準快照的 S3 儲存貯體。如果您使用下列任一 SSM 文件,則這是必需的:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline (舊有 SSM 文件)

注意

只有在中東 (巴林) 區域 (me-south-1) 中,此 S3 儲存貯體會使用不同的命名慣例。對於此 AWS 區域,請改用下列儲存貯體。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

只有在非洲 (開普敦) 區域 (af-south-1) 中,此 S3 儲存貯體會使用不同的命名慣例。對於此 AWS 區域,請改用下列儲存貯體。

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

對於 Linux 和 Windows Server 受管節點:arn:aws:s3:::aws-ssm-region/*

對於 macOS 的 Amazon EC2 執行個體:arn:aws:s3:::aws-patchmanager-macos-region/*

支援存取 S3 儲存貯體,其中包含與某些 Systems Manager 文件 (SSM 文件) 搭配使用所需的模組。例如:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

例外狀況

幾個 AWS 區域 中的 S3 儲存貯體名稱使用擴展命名慣例,如其 ARN 所示。對於這些區域,請改用下列 ARN:

  • 中東 (巴林) 區域 (me-south-1):aws-patch-manager-me-south-1-a53fc9dce

  • 非洲 (開普敦) 區域 (af-south-1):aws-patch-manager-af-south-1-bdd5f65a9

  • 歐洲 (米蘭) 區域 (eu-south-1):aws-patch-manager-eu-south-1-c52f3f594

  • 亞太區域 (大阪) (ap-northeast-3):aws-patch-manager-ap-northeast-3-67373598a

SSM 文件

以下是存放在這些儲存貯體中的一些常用 SSM 文件。

arn:aws:s3:::aws-ssm-region/ 中:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

arn:aws:s3:::aws-patchmanager-macos-region/ 中:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

範例

以下範例說明如何在美國東部 (俄亥俄) 區域 (us-east-2) 中提供 Systems Manager 操作所需的 S3 儲存貯體的存取權。在大多數情況下,只有在使用 VPC 端點時,才需要在執行個體設定檔或服務角色中明確提供這些許可。

重要

我們建議您避免在這個政策中的特定區域使用萬用字元 (*)。例如,使用 arn:aws:s3:::aws-ssm-us-east-2/* 而不使用 arn:aws:s3:::aws-ssm-*/*。使用萬用字元可能允許存取您不想授與存取權的 S3 儲存貯體。如果您要將執行個體設定檔用於多個區域,建議您為每個區域重複第一個 Statement 區塊。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }