为 Compliance 创建资源数据同步
您可以使用 AWS Systems Manager 中的资源数据同步功能,将来自所有托管式节点的合规性数据发送到目标 Amazon Simple Storage Service (Amazon S3) 存储桶。在创建同步时,可以指定来自多个 AWS 账户、AWS 区域 和混合和多云环境的托管式节点。收集新的合规性数据后,资源数据同步自动更新集中式数据。所有合规性数据存储在目标 Amazon S3 存储桶中后,您可以使用 Amazon Athena 和 Amazon QuickSight 等服务查询和分析聚合数据。为 Compliance 配置资源数据同步是一次性操作。
通过使用 AWS Management Console,使用以下过程为 Compliance 创建资源数据同步。
创建和配置一个 S3 存储桶用于资源数据同步(控制台)
通过以下网址打开 Simple Storage Service(Amazon S3)控制台:https://console.aws.amazon.com/s3/
。 -
创建用来存储聚合合规性数据的存储桶。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶。请记下存储桶名称和创建此存储桶的 AWS 区域。
-
打开存储桶,选择 Permissions (权限) 选项卡,然后选择 Bucket Policy (存储桶策略)。
-
将下面的存储桶策略复制并粘贴到策略编辑器中。将 amzn-s3-demo-bucket 和
Account-ID分别替换为您创建的 S3 存储桶的名称和有效的 AWS 账户 ID。或者,使用 Amazon S3 前缀(子目录)的名称替换Bucket-Prefix。如果您未创建前缀,则从该策略的 ARN 中删除Bucket-Prefix/。{ "Version": "2012-10-17", "Statement": [ { "Sid": "SSMBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Sid": " SSMBucketDelivery", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "s3:PutObject", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/Bucket-Prefix/*/accountid=Account_ID_number/*"], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
创建资源数据同步
访问 https://console.aws.amazon.com/systems-manager/
,打开 AWS Systems Manager 控制台。 在导航窗格中,选择 Fleet Manager。
-
选择 Account management (账户管理)、Resource Data Syncs (资源数据同步),然后选择 Create resource data sync (创建资源数据同步)。
-
在 Sync name (同步名称) 字段中,输入同步配置的名称。
-
在 Bucket name (存储桶名称) 字段中,输入您在此过程开始时创建的 Amazon S3 存储桶的名称。
-
(可选)在存储桶前缀字段中,输入 S3 存储桶前缀(子目录)的名称。
-
在存储桶区域字段中,如果您创建的 S3 存储桶位于当前的 AWS 区域 中,请选择此区域。如果存储桶位于其他 AWS 区域 中,则请选择其他区域,然后输入该区域的名称。
注意
如果同步和目标 S3 存储桶位于不同区域,您可能需要支付数据传输价格。有关更多信息,请参阅 Amazon S3 定价
。 -
选择 Create (创建)。
