• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten mit Amazon-S3-Buckets und Bucket-Richtlinien für Systems Manager
Quick SetupErstellt während des [Onboarding-Prozesses](systems-manager-setting-up-console.md) für AWS Systems Manager einen Amazon Simple Storage Service (Amazon S3) -Bucket im delegierten Administratorkonto für Organisationseinrichtungen. Bei der Einrichtung eines Einzelkontos wird der Bucket in dem Konto gespeichert, das gerade eingerichtet wird.
Sie können Systems Manager verwenden, um Diagnosevorgänge für Ihre Flotte durchzuführen, um Fälle von fehlgeschlagenen Bereitstellungen und fehlerhaften Konfigurationen zu identifizieren. Systems Manager kann auch Fälle erkennen, in denen Konfigurationsprobleme Systems Manager daran hindern, EC2-Instances in Ihrem Konto oder Ihrer Organisation zu verwalten. Die Ergebnisse dieser Diagnosevorgänge werden in diesem Amazon-S3-Bucket gespeichert, der sowohl durch eine Verschlüsselungsmethode als auch durch eine S3-Bucket-Richtlinie geschützt ist. Informationen zu den Diagnosevorgängen, die Daten in diesen Bucket ausgeben, finden Sie unter [Diagnose und Abhilfemaßnahmen](diagnose-and-remediate.md).
**Ändern der Bucket-Verschlüsselungsmethode**
Standardmäßig verwendet der S3-Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Sie können stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines vom Kunden verwalteten Schlüssels (CMK) als Alternative zu verwalteten Amazon S3 S3-Schlüsseln verwenden, wie unter erklärt. [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
**Inhalte der Bucketrichtlinien**
Die Bucket-Richtlinie verhindert, dass sich Mitgliedskonten in einer Organisation gegenseitig entdecken. Lese- und Schreibberechtigungen für den Bucket sind nur für die Diagnose- und Behebungsrollen zulässig, die für Systems Manager erstellt wurden. Die Inhalte dieser vom System generierten Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
**Topics**
+ [Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen](remediate-s3-bucket-encryption.md)
+ [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md)
# Umstellung auf einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung von S3-Ressourcen
Quick Setup erstellt während des Onboarding-Prozesses für die vereinheitlichte Systems-Manager-Konsole einen Amazon Simple Storage Service (Amazon S3)-Bucket im delegierten Administratorkonto. In diesem Bucket werden die während der Ausführung des Reparatur-Runbooks generierten Diagnoseausgabedaten gespeichert. Standardmäßig verwendet der Bucket eine serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3).
Den Inhalt dieser Richtlinien finden Sie unter [S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole](remediate-s3-bucket-policies.md).
Sie können jedoch stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) verwenden, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) als Alternative zu einem verwenden. AWS KMS key
Führen Sie die folgenden Aufgaben aus, um Systems Manager für die Verwendung Ihres CMK zu konfigurieren.
## Aufgabe 1: Fügen Sie einem vorhandenen CMK ein Tag hinzu
AWS Systems Manager verwendet Ihr CMK nur, wenn es mit dem folgenden Schlüssel-Wert-Paar gekennzeichnet ist:
+ Schlüssel: `SystemsManagerManaged`
+ Wert: `true`
Gehen Sie wie folgt vor, um Zugriff auf die Verschlüsselung des S3-Buckets mit Ihrem CMK zu gewähren.
**Hinzufügen eines Tags zu Ihrem vorhandenen CMK**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie die Registerkarte **Tags** und dann **Bearbeiten** aus.
1. Wählen Sie **Add tag**.
1. Gehen Sie wie folgt vor:
1. Geben Sie für **Tag-Schlüssel** **SystemsManagerManaged** ein.
1. Geben Sie für **Tag-Wert** **true** ein.
1. Wählen Sie **Speichern** aus.
## Aufgabe 2: Eine bestehende CMK-Schlüsselrichtlinie verändern
Gehen Sie wie folgt vor, um die [KMS-Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Ihres CMK zu aktualisieren, sodass AWS Systems Manager Rollen den S3-Bucket in Ihrem Namen verschlüsseln können.
**Um eine bestehende CMK-Schlüsselrichtlinie zu ändern**
1. [Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Klicken Sie in linken Navigationsleiste auf **Vom Kunden verwaltete Schlüssel**.
1. Wählen Sie die aus, mit AWS Systems Manager der Sie verwenden AWS KMS key möchten.
1. Wählen Sie im Tab **Schlüsselrichtlinie** die Option **Bearbeiten** aus.
1. Fügen Sie dem `Statement` Feld die folgende JSON-Anweisung hinzu und ersetzen Sie sie durch Ihre eigenen Informationen. *placeholder values*
Stellen Sie sicher, dass Sie alle AWS-Konto IDs Daten, die in Ihrer Organisation integriert sind, zu dem AWS Systems Manager `Principal` Feld hinzufügen.
Um den richtigen Bucket-Namen in der Amazon-S3-Konsole zu finden, suchen Sie im delegierten Administratorkonto den Bucket im Format `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Tipp**
Alternativ können Sie die CMK-Schlüsselrichtlinie mithilfe des Bedingungsschlüssels [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) aktualisieren, um AWS Systems Manager Zugriff auf Ihr CMK zu gewähren.
## Aufgabe 3: Geben Sie den CMK in den Systems-Manager-Einstellungen an
Gehen Sie nach Abschluss der beiden vorherigen Aufgaben wie folgt vor, um die S3-Bucket-Verschlüsselung zu ändern. Durch diese Änderung wird sichergestellt, dass der zugehörige Quick Setup-Konfigurationsprozess Berechtigungen für Systems Manager hinzufügen kann, Ihr CMK zu akzeptieren.
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie auf der Registerkarte **Diagnose und Behebung** im Abschnitt **S3-Bucket-Verschlüsselung aktualisieren** die Option **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen **Verschlüsselungseinstellungen anpassen (erweitert)**.
1. Wählen Sie im Suchfeld (![\[The search icon\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/search-icon.png)) die ID eines vorhandenen Schlüssels aus, oder fügen Sie den ARN eines vorhandenen Schlüssels ein.
1. Wählen Sie **Speichern**.
# S3-Bucket-Richtlinien für die vereinheitlichte Systems-Manager-Konsole
Dieses Thema umfasst die Amazon-S3-Bucket-Richtlinien, die von Systems Manager erstellt wurden, wenn Sie eine Organisation oder ein einzelnes Konto in die vereinheitlichte Systems-Manager-Konsole einbinden.
**Warnung**
Wenn Sie die Standard-Bucket-Richtlinie ändern, können Mitgliedskonten in einer Organisation sich möglicherweise gegenseitig erkennen oder Diagnoseergebnisse für Instances in einem anderen Konto lesen. Wir empfehlen, äußerste Vorsicht walten zu lassen, wenn Sie diese Richtlinie ändern.
## Amazon-S3-Bucket-Richtlinie für eine Organisation
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn eine Organisation in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Amazon-S3-Bucket-Richtlinie für ein einzelnes Konto
Der Diagnose-Bucket wird mit der folgenden Standard-Bucket-Richtlinie erstellt, wenn ein einzelnes Konto in Systems Manager integriert wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------