使用 Amazon S3 存储桶和 Systems Manager 的存储桶策略

在 AWS Systems Manager 的载入过程中，Quick Setup会在委派管理员账户中为组织设置创建一个 Amazon Simple Storage Service (Amazon S3) 存储桶。对于单账户设置，存储桶会存储在正在设置的账户中。

您可以使用 Systems Manager 对您的实例集运行诊断操作，以识别部署失败和偏差配置情况。Systems Manager 还可以检测配置问题导致 Systems Manager 无法管理您账户或组织中的 EC2 实例的情况。这些诊断操作的结果存储在此 Amazon S3 存储桶中，受加密方法和 S3 存储桶策略的保护。有关将数据输出到此存储桶的诊断操作的信息，请参阅诊断并修复。

更改存储桶加密方法

默认情况下，S3 存储桶使用具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3)。

您可以改用具有 AWS KMS keys的服务器端加密 (SSE-KMS)，并使用客户自主管理型密钥 (CMK) 代替 Amazon S3 托管密钥，如 更改为 AWS KMS 客户自主管理型密钥以加密 S3 资源 中所述。

存储桶策略的内容

存储桶策略可防止组织内的成员账户相互发现。仅为 Systems Manager 创建的诊断和修复角色允许对存储桶具有读写权限。新 Systems Manager 体验的 S3 存储桶策略中介绍了这些系统生成的策略的内容。