• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo dei bucket Amazon S3 e delle policy dei bucket per Systems Manager
Durante il [processo di onboarding](systems-manager-setting-up-console.md) per AWS Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato per le configurazioni dell'organizzazione. Per le configurazioni con account singolo, il bucket viene memorizzato nell'account da configurare.
È possibile utilizzare Systems Manager per eseguire operazioni di diagnostica sul parco istanze per identificare i casi di implementazioni fallite e configurazioni deviate. Systems Manager rileva anche i casi in cui i problemi di configurazione impediscono a Systems Manager di gestire le istanze EC2 nell'account o nell'organizzazione. I risultati di queste operazioni diagnostiche vengono archiviati in questo bucket Amazon S3, che è protetto sia da un metodo di crittografia che da una policy di bucket S3. Per informazioni sulle operazioni di diagnostica che inviano dati a questo bucket, consulta [Diagnosi e correzione](diagnose-and-remediate.md).
**Modifica del metodo di crittografia del bucket**
Per impostazione predefinita, il bucket S3 utilizza la crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3).
Puoi invece utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente (CMK) come alternativa alle chiavi gestite di Amazon S3, come spiegato in. [Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3](remediate-s3-bucket-encryption.md)
**Contenuti della policy di bucket**
La policy di bucket impedisce l'individuazione reciproca degli account dei membri di un'organizzazione. Le autorizzazioni di lettura e scrittura per il bucket sono consentite solo per i ruoli di diagnosi e riparazione creati per Systems Manager. Il contenuto di queste policy generate dal sistema è presentato su [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md).
**avvertimento**
La modifica della policy predefinita di bucket consente agli account membri di un'organizzazione di scoprirsi l'un l'altro oppure di leggere i risultati di diagnosi relativi alle istanze di un altro account. Consigliamo di utilizzare estrema cautela qualora si scegliesse di modificare questa policy.
**Topics**
+ [Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3](remediate-s3-bucket-encryption.md)
+ [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md)
# Passaggio a una chiave gestita AWS KMS dal cliente per crittografare le risorse S3
Durante il processo di onboarding per la console unificata di Systems Manager, Quick Setup crea un bucket Amazon Simple Storage Service (Amazon S3) nell'account amministratore delegato. Questo bucket viene utilizzato per archiviare i dati di output della diagnosi generati durante le esecuzioni dei runbook di correzione. Per impostazione predefinita, il bucket utilizza la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).
È possibile esaminare il contenuto di queste policy su [Policy di bucket S3 per la console di Systems Manager unificata](remediate-s3-bucket-policies.md).
Tuttavia, puoi invece utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente (CMK) come alternativa a una. AWS KMS key
Completare le seguenti attività per configurare Systems Manager per l'utilizzo della CMK.
## Attività 1: aggiungere un tag a una CMK esistente
AWS Systems Manager utilizza la tua CMK solo se è etichettata con la seguente coppia chiave-valore:
+ Chiave: `SystemsManagerManaged`
+ Valore: `true`
Utilizza la seguente procedura per fornire l'accesso per la crittografia del bucket S3 con la CMK.
**Aggiungere un tag alla CMK esistente**
1. [Apri la AWS KMS console in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Nella sezione di navigazione a sinistra, scegli **Chiavi gestite dal cliente**.
1. Seleziona il AWS KMS key da usare con. AWS Systems Manager
1. Seleziona la scheda **Tag**, quindi scegli **Modifica**.
1. Seleziona **Aggiungi tag**.
1. Esegui questa operazione:
1. In **Chiave di tag**, specifica **SystemsManagerManaged**.
1. In **Valore del tag**, inserisci **true**.
1. Scegli **Save** (Salva).
## Attività 2: modificare una policy della chiave CMK esistente
Utilizza la seguente procedura per aggiornare la [politica delle chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) della tua CMK per consentire ai AWS Systems Manager ruoli di crittografare il bucket S3 per tuo conto.
**Per modificare una policy della chiave CMK esistente**
1. [Apri la console in /kms. AWS KMS https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Nella sezione di navigazione a sinistra, scegli **Chiavi gestite dal cliente**.
1. Seleziona il AWS KMS key da usare con. AWS Systems Manager
1. Nella scheda **Policy della chiave**, seleziona **Modifica**.
1. Aggiungi la seguente istruzione JSON al `Statement` campo e sostituiscila *placeholder values* con le tue informazioni.
Assicurati di aggiungere sul campo tutto Account AWS IDs ciò che è presente nella tua organizzazione. AWS Systems Manager `Principal`
Per individuare il nome corretto del bucket nella console Amazon S3, nell'account amministratore delegato, individua il bucket nel formato `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Suggerimento**
In alternativa, puoi aggiornare la policy delle chiavi CMK utilizzando la chiave [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) condition per concedere AWS Systems Manager l'accesso alla tua CMK.
## Attività 3: specificare la CMK nelle impostazioni di Systems Manager
Dopo aver completato le due attività precedenti, utilizzare la procedura seguente per modificare la crittografia del bucket S3. Questa modifica garantisce che il processo di configurazione di Quick Setup associato aggiunga autorizzazioni affinché Systems Manager accetti la CMK.
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella scheda **Diagnostica e correggi**, nella sezione **Aggiorna la crittografia del bucket S3**, scegli **Modifica**.
1. Seleziona la casella di controllo **Personalizza le impostazioni di crittografia (avanzate)**.
1. Nella casella di ricerca (![\[The search icon\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/search-icon.png)), scegli l'ID di una chiave esistente, oppure incolla l'ARN di una chiave esistente.
1. Scegli **Salva**.
# Policy di bucket S3 per la console di Systems Manager unificata
Questo argomento include le policy di bucket di Amazon S3 create da Systems Manager quando si integra un'organizzazione o un singolo account nella console unificata di Systems Manager.
**avvertimento**
La modifica della policy di bucket predefinita consente agli account membri di un'organizzazione di scoprirsi l'un l'altro oppure di leggere i risultati di diagnosi relativi alle istanze di un altro account. Consigliamo di utilizzare estrema cautela qualora si scegliesse di modificare questa policy.
## Policy del bucket Amazon S3 per un'organizzazione
Il bucket di diagnosi viene creato con la seguente policy di bucket predefinita durante l'onboarding di un'organizzazione in Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Policy del bucket Amazon S3 per un singolo account
Il bucket di diagnosi viene creato con la seguente policy di bucket predefinita durante l'onboarding di un singolo account in Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------