建立合規的資源資料同步 - AWS Systems Manager

建立合規的資源資料同步

您可以使用 AWS Systems Manager 中的資源資料同步,將合規資料從所有受管執行個體傳送至目標 Amazon Simple Storage Service (Amazon S3) 儲存貯體。建立同步時,您可以指定來自多個 AWS 帳戶、AWS 區域 以及您內部部署混合環境中的受管執行個體。然後,資源資料同步會在系統收集新的合規資料時,自動更新集中的資料。當所有合規資料存放至目標 S3 儲存貯體後,您就能利用 Amazon Athena 和 Amazon QuickSight 等服務來查詢及分析彙總的資料。設定合規的資源資料同步是一次性操作。

下圖顯示資源資料同步如何從不同的帳戶、區域和您的混合環境彙整所有資料到中央儲存庫。


                Systems Manager 合規的資源資料同步

請使用下列程序,藉由使用 AWS Management Console 建立合規的資源資料同步。

若要建立和設定資源資料同步的 Amazon S3 儲存貯體 (主控台)

  1. 開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 建立儲存貯體以存放您彙總的庫存資料。如需詳細資訊,請參閱《Amazon Simple Storage Service 入門指南》中的建立儲存貯體。請記下儲存貯體名稱以及您建立的所在 AWS 區域。

  3. 開啟儲存貯體,選擇 Permissions (許可) 標籤,接著選擇 Bucket Policy (儲存貯體政策)

  4. 複製下列儲存貯體政策並貼至政策編輯器。使用您建立的 S3 儲存貯體名稱和有效的 AWS 帳戶 ID,取代 DOC-EXAMPLE-BUCKETAccount-ID。或者,您也可以使用 Amazon S3 字首 (子目錄) 取代 Bucket-Prefix。如果您沒有建立字首,請將 Bucket-Prefix/ 從政策中的 ARN 移除。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }

建立資源資料同步

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Fleet Manager

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後在導覽窗格中選擇 Fleet Manager

  3. 選擇 Account management (帳戶管理)、Resource Data Syncs (資源資料同步),然後選擇 Create resource data sync (建立資源資料同步)。

  4. Sync name (同步名稱) 欄位中,輸入同步組態的名稱。

  5. Bucket name (儲存貯體名稱) 欄位中,輸入此程序開始時建立的 Amazon S3 儲存貯體名稱。

  6. (選用) 在 Bucket prefix (儲存貯體字首) 欄位中,輸入 Amazon S3 儲存貯體字首 (子目錄) 的名稱。

  7. 如果您建立的 Amazon S3 儲存貯體位於目前的 AWS 區域,請在 Bucket region (儲存貯體區域) 欄位中選擇 This region (此區域)。如果儲存貯體位於不同的 AWS 區域,請選擇 Another region (其他區域),然後輸入區域的名稱。

    注意

    如果同步與目標 Amazon S3 儲存貯體位於不同區域,您可能需要支付資料傳輸費用。如需詳細資訊,請參閱 Amazon S3 定價

  8. 選擇 Create (建立)。