• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bekerja dengan bucket Amazon S3 dan kebijakan bucket untuk Systems Manager
Selama [proses orientasi](systems-manager-setting-up-console.md) AWS Systems Manager, Quick Setup buat bucket Amazon Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan untuk penyiapan organisasi. Untuk pengaturan akun tunggal, bucket disimpan di akun yang sedang disiapkan.
Anda dapat menggunakan Systems Manager untuk menjalankan operasi diagnostik pada armada untuk mengidentifikasi kasus penerapan yang gagal dan konfigurasi drifted. Systems Manager juga dapat mendeteksi kasus di mana masalah konfigurasi mencegah Systems Manager mengelola instans EC2 di akun atau organisasi Anda. Hasil operasi diagnostik ini disimpan dalam bucket Amazon S3 ini, yang dilindungi oleh metode enkripsi dan kebijakan bucket S3. Untuk informasi tentang operasi diagnostik yang mengeluarkan data ke bucket ini, lihat[Mendiagnosis dan memulihkan](diagnose-and-remediate.md).
**Mengubah metode enkripsi bucket**
Secara default, bucket S3 menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3).
Sebagai gantinya, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci terkelola pelanggan (CMK) sebagai alternatif untuk kunci terkelola Amazon S3, seperti yang dijelaskan di. [Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3](remediate-s3-bucket-encryption.md)
**Isi kebijakan bucket**
Kebijakan bucket mencegah akun anggota dalam suatu organisasi menemukan satu sama lain. Izin baca dan tulis ke bucket hanya diperbolehkan untuk peran diagnosis dan remediasi yang dibuat untuk Systems Manager. Isi dari kebijakan yang dihasilkan sistem ini disajikan dalam. [Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md)
**Awas**
Memodifikasi kebijakan bucket default dapat memungkinkan akun anggota di organisasi untuk menemukan satu sama lain, atau membaca output diagnosis untuk instance di akun lain. Kami merekomendasikan untuk berhati-hati jika Anda memilih untuk mengubah kebijakan ini.
**Topics**
+ [Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3](remediate-s3-bucket-encryption.md)
+ [Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md)
# Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3
Selama proses orientasi untuk konsol Systems Manager terpadu, Quick Setup buat bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan. Bucket ini digunakan untuk menyimpan data keluaran diagnosis yang dihasilkan selama eksekusi runbook remediasi. Secara default, bucket menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3).
Anda dapat meninjau konten kebijakan ini di[Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md).
Namun, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci terkelola pelanggan (CMK) sebagai alternatif untuk file. AWS KMS key
Selesaikan tugas-tugas berikut untuk mengonfigurasi Systems Manager untuk menggunakan CMK Anda.
## Tugas 1: Tambahkan tag ke CMK yang ada
AWS Systems Manager menggunakan CMK Anda hanya jika ditandai dengan pasangan kunci-nilai berikut:
+ Kunci: `SystemsManagerManaged`
+ Nilai: `true`
Gunakan prosedur berikut untuk menyediakan akses untuk mengenkripsi bucket S3 dengan CMK Anda.
**Untuk menambahkan tag ke CMK yang ada**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.
1. Pilih tab **Tag**, lalu pilih **Edit**.
1. Pilih **Tambahkan tanda**.
1. Lakukan hal-hal berikut:
1. Untuk **Kunci tag**, masukkan **SystemsManagerManaged**.
1. Untuk **nilai Tag**, masukkan**true**.
1. Pilih **Simpan**.
## Tugas 2: Ubah kebijakan kunci CMK yang ada
Gunakan prosedur berikut untuk memperbarui [kebijakan kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) CMK Anda untuk mengizinkan AWS Systems Manager peran mengenkripsi bucket S3 atas nama Anda.
**Untuk mengubah kebijakan kunci CMK yang ada**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.
1. Di tab **Kebijakan kunci**, pilih **Edit**.
1. Tambahkan pernyataan JSON berikut ke `Statement` bidang, dan ganti *placeholder values* dengan informasi Anda sendiri.
Pastikan Anda menambahkan semua Akun AWS IDs yang ada di dalam organisasi Anda ke AWS Systems Manager dalam bidang. `Principal`
Untuk menemukan nama bucket yang benar di konsol Amazon S3, di akun administrator yang didelegasikan, cari bucket dalam format. `do-not-delete-ssm-operational-account-id-home-region-disambiguator`
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Tip**
Atau, Anda dapat memperbarui kebijakan kunci CMK menggunakan [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) condition key untuk memberikan AWS Systems Manager akses ke CMK Anda.
## Tugas 3: Tentukan CMK di pengaturan Systems Manager
Setelah menyelesaikan dua tugas sebelumnya, gunakan prosedur berikut untuk mengubah enkripsi bucket S3. Perubahan ini memastikan bahwa proses Quick Setup konfigurasi terkait dapat menambahkan izin bagi Systems Manager untuk menerima CMK Anda.
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. **Pada tab **Diagnosa dan remediasi**, di bagian **enkripsi bucket Update S3**, pilih Edit.**
1. Pilih kotak centang **Sesuaikan pengaturan enkripsi (lanjutan)**.
1. Di kotak search (![\[The search icon\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), pilih ID kunci yang ada, atau tempel ARN dari kunci yang ada.
1. Pilih **Simpan**.
# Kebijakan bucket S3 untuk konsol Systems Manager terpadu
Topik ini mencakup kebijakan bucket Amazon S3 yang dibuat oleh Systems Manager saat Anda menggunakan organisasi atau satu akun ke konsol Systems Manager terpadu.
**Awas**
Memodifikasi kebijakan bucket default dapat memungkinkan akun anggota di organisasi untuk menemukan satu sama lain, atau membaca output diagnosis untuk instance di akun lain. Kami merekomendasikan untuk berhati-hati jika Anda memilih untuk mengubah kebijakan ini.
## Kebijakan bucket Amazon S3 untuk organisasi
Bucket diagnosis dibuat dengan kebijakan bucket default berikut saat melakukan onboarding organisasi ke Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Kebijakan bucket Amazon S3 untuk satu akun
Bucket diagnosis dibuat dengan kebijakan bucket default berikut saat melakukan onboarding satu akun ke Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------