As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Amazon S3
AWS Systems Manager A automação fornece runbooks predefinidos para o Amazon Simple Storage Service. Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-ArchiveS3BucketToIntelligentTiering`](automation-aws-archives3buckettointelligenttiering.md)
+ [`AWS-ConfigureS3BucketLogging`](automation-aws-configures3bucketlogging.md)
+ [`AWS-ConfigureS3BucketVersioning`](automation-aws-configures3bucketversioning.md)
+ [`AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`](automation-aws-block-public-s3-bucket.md)
+ [`AWSConfigRemediation-ConfigureS3PublicAccessBlock`](automation-aws-block-public-s3.md)
+ [`AWS-CreateS3PolicyToExpireMultipartUploads`](AWS-CreateS3PolicyToExpireMultipartUploads.md)
+ [`AWS-DisableS3BucketPublicReadWrite`](automation-aws-disables3bucketpublicreadwrite.md)
+ [`AWS-EnableS3BucketEncryption`](automation-aws-enableS3bucketencryption.md)
+ [`AWS-EnableS3BucketKeys`](automation-aws-enableS3bucketkeys.md)
+ [`AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy`](automation-aws-remove-s3-wildcard.md)
+ [`AWSConfigRemediation-RestrictBucketSSLRequestsOnly`](automation-aws-s3-deny-http.md)
+ [`AWSSupport-TroubleshootS3PublicRead`](automation-awssupport-troubleshoots3publicread.md)
+ [`AWSSupport-ConfigureS3ReplicationSameAndCrossAccount`](automation-aws-configures3replicationsameandcrossaccount.md)
+ [`AWSSupport-EmptyS3Bucket`](automation-aws-empty-s3-bucket.md)
+ [`AWSSupport-TroubleshootS3EventNotifications`](awssupport-troubleshoot-s3-event-notifications.md)
+ [`AWSSupport-ContainS3Resource`](automation-awssupport-contains3resource.md)
# `AWS-ArchiveS3BucketToIntelligentTiering`
**Descrição**
O `AWS-ArchiveS3BucketToIntelligentTiering` runbook cria ou substitui uma configuração de classificação por níveis inteligente para o bucket do Amazon Simple Storage Service (Amazon S3) que você especificar.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ArchiveS3BucketToIntelligentTiering)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (Obrigatório) O nome do bucket do S3 para o qual você deseja criar uma configuração de hierarquização inteligente.
+ ConfigurationId
Tipo: string
Descrição: (Obrigatório) O ID da configuração inteligente de camadas. Isso pode ser um novo ID de configuração ou o ID de uma configuração existente.
+ NumberOfDaysToArchive
Tipo: string
Valores válidos: 90-730
Descrição: (Obrigatório) O número de dias consecutivos após um objeto em seu bucket estar qualificado para ser transferido para o nível Archive Access.
+ NumberOfDaysToDeepArchive
Tipo: string
Valores válidos: 180-730
Descrição: (Obrigatório) O número de dias consecutivos após um objeto em seu bucket estar qualificado para ser transferido para o nível de acesso ao Deep Archive.
+ S3Prefix
Tipo: string
Descrição: (Opcional) O prefixo do nome da chave dos objetos aos quais você deseja aplicar a configuração.
+ Tags
Tipo: MapList
Descrição: (Opcional) Metadados atribuídos aos objetos aos quais você deseja aplicar a configuração. As tags consistem em uma chave e um valor definidos pelo usuário.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetIntelligentTieringConfiguration`
+ `s3:PutIntelligentTieringConfiguration`
**Etapas do documento**
+ PutsBucketIntelligentTieringConfiguration (aws:ExecuteScript) — Cria ou atualiza uma configuração do Amazon S3 Intelligent-Tiering para o bucket especificado.
+ VerifyBucketIntelligentTieringConfiguration(aws: assertAwsResource Property) - Verifica se a configuração inteligente do bucket do S3 foi aplicada ao bucket especificado.
# `AWS-ConfigureS3BucketLogging`
**Descrição**
Habilitar o log do bucket do Amazon Simple Storage Service (Amazon S3).
**Importante**
Observe as seguintes informações importantes sobre a ACL Email Grantee para a [PutBucketLogging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)API do Amazon S3, que é usada por este runbook:
Aviso de fim de suporte: a partir de 1.º de outubro de 2025, o Amazon S3 interromperá o suporte à criação de listas de controle de acesso (ACL) de beneficiários por e-mail. O Email Grantee ACLs criado antes dessa data continuará funcionando e permanecerá acessível por meio da Console de gerenciamento da AWS, ( AWS CLI CLI) e da API REST SDKs. No entanto, você não poderá mais criar um novo Email ACLs Grantee. Entre 15 de julho de 2025 e 1º de outubro de 2025, você começará a ver uma taxa crescente de erros HTTP 405 em solicitações ao Amazon S3 ao tentar criar um novo Email Grantee. ACLs
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureS3BucketLogging)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do Amazon S3 para o qual você deseja configurar o log.
+ GrantedPermission
Tipo: string
Valores permitidos: FULL\$1CONTROL \$1 READ \$1 WRITE
Descrição: (obrigatório) Registrar permissões atribuídas ao usuário autorizado para o bucket.
+ GranteeEmailAddress
Tipo: string
(Opcional) O endereço de e-mail do favorecido.
+ GranteeId
Tipo: string
Descrição: (opcional) O ID de usuário canônico do favorecido.
+ GranteeType
Tipo: string
Valores válidos: CanonicalUser \$1 AmazonCustomerByEmail \$1 Grupo
Descrição: (obrigatório) Tipo de favorecido.
+ GranteeUri
Tipo: string
Descrição: (opcional) URI do grupo de favorecidos.
+ TargetBucket
Tipo: string
Descrição: (obrigatório) Especifica o bucket em que você deseja que o Amazon S3 armazene os logs de acesso do servidor. Os logs podem ser entregues em qualquer bucket de sua propriedade. Você também pode configurar vários buckets para entregar seus logs para o mesmo bucket de destino. Nesse caso, você deve escolher um diferente TargetPrefix para cada bucket de origem para que os arquivos de log entregues possam ser diferenciados por chave.
+ TargetPrefix
Tipo: string
Padrão: /
Descrição: (opcional) Especifica um prefixo para as chaves em que os arquivos de log serão armazenados.
# `AWS-ConfigureS3BucketVersioning`
**Descrição**
Configurar o versionamento de um bucket do Amazon Simple Storage Service (Amazon S3).
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-ConfigureS3BucketVersioning)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do Amazon S3 para o qual você deseja configurar o versionamento.
+ VersioningState
Tipo: string
Valores permitidos: Enabled \$1 Suspended
Padrão: Habilitado
Descrição: (Opcional) Aplicada ao VersioningConfiguration .Status. Quando definido como "Enabled", esse processo permite o versionamento de objetos no bucket; todos os objetos adicionados ao bucket recebem um ID de versão exclusivo. Quando definido como `Suspended`, esse processo desabilita o versionamento dos objetos no bucket. Todos os objetos adicionados ao bucket recebem o ID da versão `null`.
# `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`
**Descrição**
O runbook `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock` define as configurações do bloco de acesso público do Amazon Simple Storage Service (Amazon S3) para um bucket do Amazon S3 com base nos valores especificados nos parâmetros do runbook.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ BlockPublicAcls
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 bloqueia listas públicas de controle de acesso (ACLs) para o bucket S3 e objetos armazenados no bucket S3 que você especificar no parâmetro. `BucketName`
+ BlockPublicPolicy
Tipo: booleano
Padrão: True
Descrição: (opcional) Se definido como `true`, o Amazon S3 bloqueia políticas públicas de bucket para o bucket S3 especificado no parâmetro `BucketName`.
+ BucketName
Tipo: string
Descrição: (obrigatória) O nome do bucket do S3 onde você deseja configurar.
+ IgnorePublicAcls
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 ignora todos os públicos ACLs do bucket do S3 que você especificar no parâmetro. `BucketName`
+ RestrictPublicBuckets
Tipo: booleano
Padrão: True
Descrição: (opcional) Se definido como `true`, o Amazon S3 restringe as políticas públicas de bucket para o bucket do S3 especificado no parâmetro `BucketName`.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutAccountPublicAccessBlock`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:PutBucketPublicAccessBlock`
**Etapas do documento**
+ `aws:executeAwsApi` :Cria ou modifica a configuração de `PublicAccessBlock` do bucket do S3 especificado no parâmetro `BucketName`.
+ `aws:executeScript` :Retorna a configuração de `PublicAccessBlock` do bucket do S3 especificado no parâmetro `BucketName` e verifica se as alterações foram feitas com sucesso com base nos valores especificados nos parâmetros do runbook.
# `AWSConfigRemediation-ConfigureS3PublicAccessBlock`
**Descrição**
O `AWSConfigRemediation-ConfigureS3PublicAccessBlock` runbook configura as configurações de um bloco de acesso público do Conta da AWS Amazon Simple Storage Service (Amazon S3) com base nos valores que você especifica nos parâmetros do runbook.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-ConfigureS3PublicAccessBlock)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AccountId
Tipo: string
Descrição: (Obrigatório) O ID do proprietário do bucket S3 Conta da AWS que você está configurando.
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ BlockPublicAcls
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 bloqueia listas públicas de controle de acesso (ACLs) para buckets do S3 pertencentes ao Conta da AWS que você especificou no parâmetro. `AccountId`
+ BlockPublicPolicy
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 bloqueia políticas públicas de bucket para buckets do S3 de propriedade do Conta da AWS que você especifica no parâmetro. `AccountId`
+ IgnorePublicAcls
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 ignora todos os buckets públicos ACLs do S3 pertencentes ao que Conta da AWS você especificou no parâmetro. `AccountId`
+ RestrictPublicBuckets
Tipo: booleano
Padrão: verdadeiro
Descrição: (Opcional) Se definido como`true`, o Amazon S3 restringe as políticas públicas de bucket para buckets do S3 de propriedade do que Conta da AWS você especifica no parâmetro. `AccountId`
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutAccountPublicAccessBlock`
**Etapas do documento**
+ `aws:executeAwsApi` :Cria ou modifica a configuração `PublicAccessBlock` para a Conta da AWS especificada no parâmetro `AccountId`.
+ `aws:executeScript`- Retorna a `PublicAccessBlock` configuração Conta da AWS especificada no `AccountId` parâmetro e verifica se as alterações foram feitas com sucesso com base nos valores especificados nos parâmetros do runbook.
# `AWS-CreateS3PolicyToExpireMultipartUploads`
**Descrição**
O `AWS-CreateS3PolicyToExpireMultipartUploads` runbook cria uma política de ciclo de vida para um bucket específico que expira os uploads incompletos de várias partes em andamento após um número definido de dias. Esse runbook mescla a nova política de ciclo de vida com qualquer política de bucket de ciclo de vida existente que já exista.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateS3PolicyToExpireMultipartUploads)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (obrigatória) O nome do bucket do S3 onde você deseja configurar.
+ DaysUntilExpire
Tipo: inteiro
Descrição: (Obrigatório) O número de dias que o Amazon S3 espera antes de remover permanentemente todas as partes do upload.
+ RuleId
Tipo: string
Descrição: (Obrigatório) O ID usado para identificar a regra do intervalo de ciclo de vida. Esse deve ser um valor exclusivo.
+ S3Prefix
Tipo: string
Descrição: (Opcional) O prefixo do nome da chave dos objetos aos quais você deseja aplicar a configuração.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:GetAutomationExecution`
+ `ssm:StartAutomationExecution`
+ `s3:GetLifecycleConfiguration`
+ `s3:PutLifecycleConfiguration`
**Etapas do documento**
+ ConfigureExpireMultipartUploads (aws:ExecuteScript) — Configura a política de ciclo de vida do bucket.
+ VerifyExpireMultipartUploads (aws:ExecuteScript) — Verifica se a política de ciclo de vida foi configurada para o bucket.
**Saídas**
+ `VerifyExpireMultipartUploads.VerifyExpireMultipartUploadsResponse`
+ `VerifyExpireMultipartUploads.LifecycleConfigurationRule`
# `AWS-DisableS3BucketPublicReadWrite`
**Descrição**
Usar o `Block Public Access` do Amazon Simple Storage Service (Amazon S3) para desabilitar o acesso de leitura e gravação para um bucket público do S3. Para obter mais informações, consulte [Usar o bloqueio de acesso público do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) no *Guia do usuário do Amazon Simple Storage Service*.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-DisableS3BucketPublicReadWrite)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ S3 BucketName
Tipo: string
Descrição: (obrigatória) o bucket do S3 no qual você deseja restringir o acesso.
# `AWS-EnableS3BucketEncryption`
**Descrição**
Configura o bucket Amazon Simple Storage Service (Amazon S3) para criptografia padrão.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableS3BucketEncryption)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (obrigatória) o nome do bucket do S3 onde você deseja criptografar o conteúdo.
+ SSEAlgorithm
Tipo: string
Padrão: AES256
Descrição: (Opcional) Algoritmo de criptografia do lado do servidor a ser usado para a criptografia padrão.
# `AWS-EnableS3BucketKeys`
**Descrição**
O `AWS-EnableS3BucketKeys` runbook habilita Bucket Keys no bucket do Amazon Simple Storage Service (Amazon S3) especificado por você. Essa chave em nível de bucket cria chaves de dados para novos objetos durante seu ciclo de vida. Se você não especificar um valor para o `KmsKeyId` parâmetro, a criptografia do lado do servidor usando as chaves gerenciadas do Amazon S3 (SSE-S3) será usada para a configuração de criptografia padrão.
**nota**
As chaves de bucket do Amazon S3 não são compatíveis com criptografia de duas camadas no lado do servidor com AWS Key Management Service chaves () (DSSE-KMS).AWS KMS
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableS3BucketKeys)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ BucketName
Tipo: string
Descrição: (Obrigatório) O nome do bucket do S3 para o qual você deseja habilitar o Bucket Keys.
+ KMSKeyIdentificação
Tipo: string
Descrição: (Opcional) O nome de recurso da Amazon (ARN), o ID da chave ou o alias da chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente que você deseja usar para criptografia no lado do servidor.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetEncryptionConfiguration`
+ `s3:PutEncryptionConfiguration`
**Etapas do documento**
+ ChooseEncryptionType (aws:branch) - Avalia o valor fornecido para o `KmsKeyId` parâmetro para determinar se SSE-S3 (AES256) ou SSE-KMS serão usados.
+ PutBucketKeysKMS (aws:executeAwsApi) - Define a `BucketKeyEnabled` propriedade `true` para o bucket S3 especificado usando o especificado. `KmsKeyId`
+ PutBucketKeysAES256 (aws:executeAwsApi) - Define a `BucketKeyEnabled` propriedade `true` para o bucket S3 especificado com AES256 criptografia.
+ VerifyS3 BucketKeysEnabled (aws: assertAwsResource Property) - Verifica se as chaves de bucket estão habilitadas no bucket S3 de destino.
# `AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy`
**Descrição**
O runbook `AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy` remove as instruções de política da entidade principal que têm curingas (`Principal: *` ou `Principal: "AWS": *`) para ações de `Allow` de sua política de bucket do Amazon Simple Storage Service (Amazon S3). As instruções de política com condições também são removidas.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RemovePrincipalStarFromS3BucketPolicy)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do Amazon S3 cuja política deseja modificar.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:DeleteBucketPolicy`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
**Etapas do documento**
+ `aws:executeScript` :Modifica a política do bucket e verifica se as instruções de política da entidade principal com curingas foram removidas do bucket do Amazon S3 especificado no parâmetro `BucketName`.
# `AWSConfigRemediation-RestrictBucketSSLRequestsOnly`
**Descrição**
O runbook `AWSConfigRemediation-RestrictBucketSSLRequestsOnly` cria uma instrução de política de bucket do Amazon Simple Storage Service (Amazon S3) que nega explicitamente solicitações HTTP para o bucket do Amazon S3 especificado.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-RestrictBucketSSLRequestsOnly)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: string
Descrição: (obrigatório) O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome.
+ BucketName
Tipo: string
Descrição: (obrigatório) O nome do bucket do S3 cujas solicitações HTTP serão negadas.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:DeleteBucketPolicy`
+ `s3:GetBucketPolicy`
+ `s3:PutEncryptionConfiguration`
+ `s3:PutBucketPolicy`
**Etapas do documento**
+ `aws:executeScript` :Cria uma política de bucket para o bucket do S3 especificado no parâmetro `BucketName` que nega explicitamente as solicitações HTTP.
# `AWSSupport-TroubleshootS3PublicRead`
**Descrição**
O runbook `AWSSupport-TroubleshootS3PublicRead` diagnostica problemas de leitura de objetos do bucket público do Amazon Simple Storage Service (Amazon S3) especificado no parâmetro `S3BucketName`. Um subconjunto de definições também é analisado para objetos no bucket do S3.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootS3PublicRead)
**Limitações**
+ Essa automação não verifica os pontos de acesso que permitem o acesso público aos objetos.
+ Essa automação não avalia as chaves de condição na política de bucket do S3.
+ Se você estiver usando AWS Organizations, essa automação não avalia as políticas de controle de serviços para confirmar se o acesso ao Amazon S3 é permitido.
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ CloudWatchLogGroupName
Tipo: string
Descrição: (Opcional) O grupo de CloudWatch registros do Amazon Logs para o qual você deseja enviar a saída de automação. Se não for encontrado um grupo de logs que corresponda ao valor especificado, a automação criará um grupo de logs usando esse valor de parâmetro. O período de retenção do grupo de logs criado por essa automação é de 14 dias.
+ CloudWatchLogStreamName
Tipo: string
Descrição: (Opcional) O fluxo de CloudWatch registros para o qual você deseja enviar a saída de automação. Se não for encontrado um fluxo de logs que corresponda ao valor especificado, a automação criará um fluxo de logs usando esse valor de parâmetro. Se um valor para esse parâmetro não for especificado, a automação usará o `ExecutionId` para o nome do fluxo de logs.
+ HttpGet
Tipo: booliano
Valores válidos: True \$1 False
Padrão: True
Descrição: (opcional) Se esse parâmetro for definido como `true`, a automação fará uma solicitação HTTP parcial aos objetos do `S3BucketName` que forem especificados. Somente o primeiro byte do objeto é retornado usando o cabeçalho HTTP Range.
+ IgnoreBlockPublicAccess
Tipo: booliano
Valores válidos: True \$1 False
Padrão: False
Descrição: (opcional) Se esse parâmetro for definido como `true`, a automação ignorará as definições do bloco de acesso público do bucket do S3 especificado no parâmetro `S3BucketName`. Não é recomendável alterar o valor do este parâmetro padrão.
+ MaxObjects
Tipo: inteiro
Valores válidos: 1 a 25
Padrão: 5
Descrição: (opcional) O número de objetos a serem analisados no bucket do S3 especificado no parâmetro `S3BucketName`.
+ S3 BucketName
Tipo: string
Descrição: (obrigatória) O ID do bucket do S3 para solução de problemas.
+ S3 PrefixName
Tipo: string
Descrição: (opcional) O prefixo do nome da chave dos objetos que você quer analisar em seu bucket do S3. Para ter mais informações, consulte [Chaves do objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMetadata.html#object-keys) no *Guia do usuário do Amazon Simple Storage Service*.
+ StartAfter
Tipo: string
Descrição: (opcional) O nome da chave do objeto em que a automação deve começar a analisar os objetos em seu bucket do S3.
+ ResourcePartition
Tipo: string
Valores válidos: `aws` \$1 `aws-us-gov` \$1 `aws-cn`
Padrão: `aws`
Descrição: (obrigatório) A partição em que o bucket do S3 está localizado.
+ Detalhado
Tipo: Booliano
Valores válidos: True \$1 False
Padrão: False
Descrição: (opcional) Para retornar informações mais detalhadas durante a automação, defina esse parâmetro como `true`. Somente mensagens de aviso e erro serão retornadas se o parâmetro estiver definido como `false`.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
As `logs:PutLogEvents` permissões `logs:CreateLogGroup``logs:CreateLogStream`, e só são necessárias se você quiser que a automação envie dados de registro para o CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:SimulateCustomPolicy",
"iam:GetContextKeysForCustomPolicy",
"s3:ListAllMyBuckets",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:PutRetentionPolicy",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketRequestPayment",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPolicy",
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
"Effect": "Allow"
}
]
}
```
------
**Etapas do documento**
+ `aws:assertAwsResourceProperty` :Confirma que o bucket do S3 existe e está acessível.
+ `aws:executeScript` :Retorna a localização do bucket do S3 e seu ID de usuário canônico.
+ `aws:executeScript` :Retorna as definições do bloco de acesso público de sua conta e do bucket do S3.
+ `aws:assertAwsResourceProperty` :Confirma que o pagador do bucket do S3 está configurado como `BucketOwner`. Se `Requester Pays` estiver habilitado no bucket do S3, a automação será encerrada.
+ `aws:executeScript` :Retorna o status da política do bucket do S3 e determina se ela é considerada pública. Para obter mais informações sobre buckets públicos do S3, consulte [ O significado de “público”](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-policy-status) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
+ `aws:executeAwsApi` :Retorna a política de bucket do S3.
+ `aws:executeAwsApi` :Retorna todas as chaves de contexto encontradas na política de bucket do S3.
+ `aws:assertAwsResourceProperty` :Confirma se há uma negação explícita na política de bucket do S3 para a ação `GetObject` da API.
+ `aws:executeAwsApi` :Retorna a lista de controle de acesso (ACL) do bucket do S3.
+ `aws:executeScript`- Cria um grupo de CloudWatch registros e um fluxo de registros se você especificar um valor para o `CloudWatchLogGroupName` parâmetro.
+ `aws:executeScript` :Com base nos valores especificados nos parâmetros de entrada do runbook, avalia se alguma das definições do bucket do S3 coletadas durante a automação está impedindo que os objetos sejam acessados pelo público. Esse script executa as seguintes funções:
+ Avalia as definições de bloqueio de acesso público
+ Retorna objetos do bucket do S3 com base nos valores especificados nos parâmetros `MaxObjects`, `S3PrefixName` e `StartAfter`.
+ Retorna a política do bucket do S3 para simular uma política do IAM personalizada para os objetos retornados do bucket do S3.
+ Executa uma solicitação HTTP parcial para os objetos retornados se o parâmetro `HttpGet` estiver definido como `true`. Somente o primeiro byte do objeto é retornado usando o cabeçalho HTTP Range.
+ Verifica o nome da chave do objeto retornado para confirmar se ele termina com um ou dois pontos. Os nomes de chaves de objetos que terminam em pontos não podem ser baixados do console do Amazon S3.
+ Verifica se o proprietário do objeto retornado corresponde ao proprietário do bucket do S3.
+ Verifica se a ACL do objeto concede permissões de `READ` ou `FULL_CONTROL` a usuários anônimos.
+ Retorna tags associadas ao objeto.
+ Usa a política do IAM simulada para confirmar se há uma negação explícita desse objeto na política de bucket do S3 para a ação `GetObject` da API.
+ Retorna os metadados do objeto para confirmar que a classe de armazenamento é compatível.
+ Verifica as configurações de criptografia do lado do servidor do objeto para confirmar se o objeto está criptografado usando uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente.
**Saídas**
AnalyzeObjects.balde
AnalyzeObjects.objeto
# `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount`
**Descrição**
O runbook de `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` automação configura a replicação de buckets do Amazon Simple Storage Service (Amazon S3) entre um bucket de origem e um bucket de destino para contas iguais ou cruzadas. Essa automação oferece suporte à replicação de buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) e criptografia do lado do servidor com (SSE-KMS). AWS Key Management Service Ele também suporta filtragem de replicação seletiva baseada em prefixo e tag, controle de tempo de replicação do Amazon S3 (Amazon S3 RTC) com SLA de 15 minutos e replicação de marcadores de exclusão. A automação executa as seguintes ações:
+ Valida os parâmetros de entrada e as configurações do bucket para fins de compatibilidade.
+ Verifica as configurações de criptografia nos buckets de origem e destino.
+ Cria uma nova função AWS Identity and Access Management (IAM) com as permissões apropriadas para replicação, se não for fornecida como entrada.
+ Configura as regras de replicação com base em parâmetros especificados (prefixo, tags ou bucket inteiro).
+ Ativa o controle de versão do bucket, caso ainda não esteja habilitado.
+ Define a configuração de replicação com recursos opcionais, como Controle de Tempo de Replicação (RTC) e replicação de marcadores de exclusão.
**Importante**
**Essa automação não oferece suporte a buckets com regras de replicação existentes.** O bucket de origem não deve ter nenhuma configuração de replicação existente.
**Essa automação cria uma nova função do IAM** com permissões apropriadas para replicação se a ReplicationRole entrada do S3 não for fornecida.
**Essa automação não replica objetos existentes.** A replicação do Amazon S3 só se aplica aos objetos uploaded/created depois que a configuração de replicação é habilitada.
Para replicação entre contas, você deve fornecer uma função do IAM na conta de destino com as permissões apropriadas para operações AWS KMS e operações do Amazon S3 (se o bucket AWS KMS usar criptografia).
Essa automação usa a `aws:approve` ação, que pausa temporariamente a execução até que os diretores designados aprovem as alterações de configuração. Consulte [Executando uma automação com aprovadores](https://docs.aws.amazon.com//systems-manager/latest/userguide/running-automations-require-approvals.html) para obter mais informações.
**Como funciona?**
O runbook executa as seguintes etapas:
+ **ValidateInputParameters**: valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada.
+ **PrepareApprovalMessage**: prepara uma mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário.
+ **RequestApproval**: solicita aprovação de usuários autorizados antes de adicionar a configuração de replicação do Amazon S3 no bucket de origem.
+ **CheckBucketEncryption**: verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis.
+ **BranchOnEncryptionType**: ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS.
+ **Configurar SSES3 replicação**: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação.
+ **Configurar SSEKMSReplication**: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação.
+ **CleanupResources**: limpa a função do IAM criada durante a falha na configuração de replicação quando o S3 não ReplicationRole é fornecido como entrada.
[Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount)
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ s3: ListBucket
+ s3: GetBucketVersioning
+ s3: GetEncryptionConfiguration
+ s3: GetBucketLocation
+ s3: GetReplicationConfiguration
+ s3: PutBucketVersioning
+ s3: PutReplicationConfiguration
+ objetivo: ListRoles
+ objetivo: GetRole
+ objetivo: GetRolePolicy
+ objetivo: ListRoleTags
+ objetivo: ListAttachedRolePolicies
+ objetivo: ListRolePolicies
+ objetivo: SimulatePrincipalPolicy
+ objetivo: CreateRole
+ objetivo: TagRole
+ objetivo: PassRole
+ objetivo: DeleteRole
+ objetivo: DeleteRolePolicy
+ objetivo: DetachRolePolicy
+ objetivo: PutRolePolicy
+ conjuntos: GetCallerIdentity
+ sns:Publish
+ kms: GetKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta)
+ kms: DescribeKey (quando os buckets usam SSE-KMS, replicação na mesma conta)
+ kms: PutKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta)
+ sts: AssumeRole (para replicação entre contas)
**CrossAccountReplicationRole (para cenários de várias contas):**
Para replicação entre contas, você deve fornecer uma CrossAccountReplicationRole na conta de destino com as seguintes permissões:
+ s3: ListBucket
+ s3: GetBucketVersioning
+ s3: GetBucketLocation
+ s3: GetBucketPolicy
+ s3: GetEncryptionConfiguration
+ s3: PutBucketVersioning
+ s3: PutBucketPolicy
+ kms: GetKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS)
+ kms: DescribeKey (quando o bucket de destino entre contas usa SSE-KMS)
+ kms: PutKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS)
**S3 ReplicationRole (função fornecida pelo cliente):**
Se você fornecer um S3 existenteReplicationRole, ele deverá ter as seguintes permissões:
+ s3: ListBucket
+ s3: GetBucketLocation
+ s3: GetReplicationConfiguration
+ s3: GetObjectVersionAcl
+ s3: GetObjectVersionTagging
+ s3: GetObjectVersionForReplication
+ s3: GetObjectTagging
+ s3: ReplicateObject
+ s3: ReplicateDelete
+ s3: ReplicateTags
+ s3: ObjectOwnerOverrideToBucketOwner
+ KMS:Decrypt (para cenários SSE-KMS, chave KMS de origem)
+ KMS:Encrypt (para cenários SSE-KMS, chave KMS de destino)
+ kms: GenerateDataKey (para cenários SSE-KMS, chave KMS de destino)
+ kms: ReEncrypt \$1 (para cenários SSE-KMS, chave KMS de destino)
Exemplo **AutomationAssumeRole**de política para **replicação na mesma conta**:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutReplicationConfiguration"
],
"Resource": [
"arn:aws:s3:::SOURCE_BUCKET",
"arn:aws:s3:::DESTINATION_BUCKET"
]
},
{
"Sid": "IAMReadOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
},
{
"Sid": "IAMListRolesForCleanup",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMCreateAndTagRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:TagRole"
],
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "s3.amazonaws.com"
}
}
},
{
"Sid": "TaggedIAMRoleModifyAndDeleteOperations",
"Effect": "Allow",
"Action": [
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "STSGetCallerIdentity",
"Effect": "Allow",
"Action": "sts:GetCallerIdentity",
"Resource": "*"
},
{
"Sid": "SNSPublish",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "SNS_TOPIC_ARN"
},
{
"Sid": "KMSKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
]
},
{
"Sid": "KMSKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": [
"arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
],
"Condition": {
"StringEquals": {
"kms:CallerAccount": "ACCOUNT_ID"
}
}
}
]
}
```
**nota**
As declarações de política (KMSKeyReadOperations e KMSKeyMutatingOperations) são necessárias somente quando os buckets usam criptografia SSE-KMS.
Exemplo **AutomationAssumeRole**de política para **replicação entre contas**:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3SourceBucketOperations",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutReplicationConfiguration"
],
"Resource": "arn:aws:s3:::SOURCE_BUCKET"
},
{
"Sid": "IAMReadOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
},
{
"Sid": "IAMListRolesForCleanup",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMCreateAndTagRole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:TagRole"
],
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "s3.amazonaws.com"
}
}
},
{
"Sid": "TaggedIAMRoleModifyAndDeleteOperations",
"Effect": "Allow",
"Action": [
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*"
}
}
},
{
"Sid": "CrossAccountRoleAssumption",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN"
},
{
"Sid": "STSGetCallerIdentity",
"Effect": "Allow",
"Action": "sts:GetCallerIdentity",
"Resource": "*"
},
{
"Sid": "SNSPublish",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "SNS_TOPIC_ARN"
},
{
"Sid": "KMSSourceKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID"
},
{
"Sid": "KMSSourceKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "SOURCE_ACCOUNT_ID"
}
}
}
]
}
```
**nota**
As declarações de política (KMSSourceKeyReadOperations e KMSSourceKeyMutatingOperations) são necessárias somente quando o bucket de origem usa criptografia SSE-KMS.
Substitua CROSS\$1ACCOUNT\$1REPLICATION\$1ROLE\$1ARN pelo valor real do parâmetro que você fornece à automação. CrossAccountReplicationRole
Exemplo **CrossAccountReplicationRole**de política:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3DestinationBucketReadOperations",
"Effect": "Allow",
"Action": [
"s3:GetBucketVersioning",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:PutBucketVersioning",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::DESTINATION_BUCKET"
},
{
"Sid": "KMSDestinationKeyReadOperations",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
},
{
"Sid": "KMSDestinationKeyMutatingOperations",
"Effect": "Allow",
"Action": "kms:PutKeyPolicy",
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "DESTINATION_ACCOUNT_ID"
}
}
}
]
}
```
**nota**
As instruções KMS (KMSDestinationKeyReadOperations e KMSDestinationKeyMutatingOperations) são necessárias somente quando o bucket de destino usa criptografia SSE-KMS. Remova essas declarações para cenários SSE-S3.
Exemplo de política de CrossAccountReplicationRole confiança:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "AUTOMATION_ASSUME_ROLE_ARN"
},
"Action": "sts:AssumeRole"
}
]
}
```
**nota**
Substitua AUTOMATION\$1ASSUME\$1ROLE\$1ARN pelo valor real do parâmetro que você fornece à automação. AutomationAssumeRole
Exemplo de ReplicationRole política **S3**:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3SourceBucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionForReplication",
"s3:GetObjectTagging"
],
"Resource": [
"arn:aws:s3:::SOURCE_BUCKET",
"arn:aws:s3:::SOURCE_BUCKET/*"
]
},
{
"Sid": "S3DestinationBucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Resource": "arn:aws:s3:::DESTINATION_BUCKET/*"
},
{
"Sid": "S3CrossAccountPermissions",
"Effect": "Allow",
"Action": "s3:ObjectOwnerOverrideToBucketOwner",
"Resource": "arn:aws:s3:::DESTINATION_BUCKET/*"
},
{
"Sid": "KMSSourceKeyPermissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID"
},
{
"Sid": "KMSDestinationKeyPermissions",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID"
}
]
}
```
**nota**
As instruções KMS (KMSSourceKeyPermissions e KMSDestinationKeyPermissions) são necessárias somente quando os buckets usam criptografia SSE-KMS.
A CrossAccountPermissions instrução S3 só é necessária para a replicação de buckets entre contas.
Exemplo de política de ReplicationRole confiança do S3:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
**Instruções**
Siga estas etapas para configurar a automação:
1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)em Systems Manager em Documentos.
1. Selecione **Execute automation (Executar automação)**.
1. Para os parâmetros de entrada, insira o seguinte:
+ **AutomationAssumeRole (Obrigatório):**
+ Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ Tipo: `AWS::IAM::Role::Arn`
+ **SourceBucket (Obrigatório):**
+ Descrição: (Obrigatório) O nome do bucket Amazon S3 de origem onde as regras de replicação serão criadas ou atualizadas.
+ Tipo: `AWS::S3::Bucket::Name`
+ **DestinationBucket (Obrigatório):**
+ Descrição: (Obrigatório) O nome do bucket Amazon S3 de destino para o qual os objetos serão replicados.
+ Tipo: `String`
+ Allowed-pattern: `^[0-9a-z][a-z0-9\\-\\.]{3,63}$`
+ **SourceAccountId (Obrigatório):**
+ Descrição: (Obrigatório) O ID da AWS conta em que o bucket de origem está localizado.
+ Tipo: `String`
+ Allowed-pattern: `^[0-9]{12,13}$`
+ **DestinationAccountId (Obrigatório):**
+ Descrição: (Obrigatório) O ID da AWS conta em que o bucket de destino está localizado.
+ Tipo: `String`
+ Allowed-pattern: `^[0-9]{12,13}$`
+ **SnsNotificationArn (Obrigatório):**
+ Descrição: (Obrigatório) O ARN de um tópico do Amazon Simple Notification Service (Amazon SNS) para aprovações de automação.
+ Tipo: `String`
+ Allowed-pattern: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$`
+ **Aprovadores (obrigatório):**
+ Descrição: (Obrigatório) A lista de IAM user/role ARNs autorizados a aprovar a execução da automação.
+ Tipo: `StringList`
+ Allowed-pattern: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$`
+ **S3 ReplicationRole (opcional):**
+ Descrição: (Opcional) O ARN de uma função existente do IAM a ser usada nas operações de replicação do Amazon S3. Essa função deve ter permissões para ler do bucket de origem e gravar no bucket de destino, incluindo permissões KMS se os buckets usarem criptografia SSE-KMS. Se não for fornecida, a automação criará uma nova função com as permissões apropriadas.
+ Tipo: `String`
+ Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$`
+ Padrão: `""`
+ **CrossAccountReplicationRole (Opcional):**
+ Descrição: (Opcional) O ARN de uma função do IAM na conta de destino que a automação pode assumir. Isso é necessário para a replicação entre contas. Para replicação na mesma conta, deixe isso em branco.
+ Tipo: `String`
+ Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$`
+ Padrão: `""`
+ **ReplicateEntireBucket (Opcional):**
+ Descrição: (Opcional) Se definido como`true`, todo o bucket será replicado e tanto o Prefixo quanto os Tags deverão estar vazios. Se for falso, a replicação será baseada em prefixos ou tags especificados.
+ Tipo: `Boolean`
+ Valores permitidos: `[true, false]`
+ Padrão: `true`
+ **ReplicationRuleStatus (Opcional):**
+ Descrição: (Opcional) Se definido como`true`, as regras de replicação criadas serão habilitadas. Se definido como`false`, as regras de replicação criadas serão definidas como **Desativadas**.
+ Tipo: `Boolean`
+ Valores permitidos: `[true, false]`
+ Padrão: `true`
+ **DeleteMarkerReplicationStatus (Opcional):**
+ Descrição: (Opcional) Se definida como`true`, a automação permite a replicação do marcador de exclusão.
+ Tipo: `Boolean`
+ Valores permitidos: `[true, false]`
+ Padrão: `false`
+ **ReplicationTimeControl (Opcional):**
+ Descrição: (Opcional) Se definido como`true`, habilita o Amazon S3 Replication Time Control (Amazon S3 RTC) com SLA de 15 minutos para tempos de replicação previsíveis.
+ Tipo: `Boolean`
+ Valores permitidos: `[true, false]`
+ Padrão: `false`
+ **ReplicaModifications (Opcional):**
+ Descrição: (Opcional) Se definido como`true`, permite a replicação das alterações de metadados feitas nos objetos de réplica, permitindo que as modificações nos objetos replicados sejam sincronizadas de volta à origem.
+ Tipo: `Boolean`
+ Valores permitidos: `[true, false]`
+ Padrão: `false`
+ **Prefixo (opcional):**
+ Descrição: (Opcional) Filtro de prefixo para replicação seletiva de objetos com prefixos de chave específicos. O prefixo deve terminar com uma barra final (/) para uma filtragem adequada do prefixo do Amazon S3.
+ Tipo: `String`
+ Allowed-pattern: `^$|^[a-zA-Z0-9!_'()\\-]*/+$`
+ Padrão: `""`
+ **Etiquetas (opcional):**
+ Descrição: matriz de tags JSON (opcional) para filtrar objetos a serem replicados. Formato para uma única tag: [\$1"Key”:” TagKey “, "Value”:” TagValue “\$1] e para várias tags: [\$1" Key”:” TagKey 1", "Value”:” TagValue 1"\$1, \$1"Key”:” 2", "Value”:” TagKey 2"\$1]. TagValue
+ Tipo: `String`
+ Allowed-pattern: `^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$`
+ Padrão: `[]`
1. Selecione **Executar**.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **ValidateInputParameters**:
Valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada.
+ **PrepareApprovalMessage**:
Prepara a mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário.
+ **RequestApproval**:
Solicita aprovação de usuários autorizados antes de prosseguir com as alterações na configuração de replicação do Amazon S3.
+ **CheckBucketEncryption**:
Verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis.
+ **BranchOnEncryptionType**:
Ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS.
+ **Configurar a SSES3 replicação**:
Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação.
+ **Configurar SSEKMSReplication**:
Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação.
+ **CleanupResources**:
Limpa as funções do IAM criadas durante a falha na configuração de replicação quando o S3 não ReplicationRole foi fornecido pelo cliente.
1. Após a conclusão, revise os resultados da etapa **Configurar SSES3 replicação** (para buckets criptografados SSE-S3) ou da SSEKMSReplication etapa **Configurar** (para buckets criptografados SSE-KMS) para ver os resultados da execução, incluindo o status da configuração da replicação junto com a função do IAM usada para replicação.
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-EmptyS3Bucket`
**Descrição**
O runbook de `AWSSupport-EmptyS3Bucket` automação esvazia um bucket existente do Amazon Simple Storage Service (Amazon S3) usando uma regra de configuração de expiração do ciclo de vida.
**Importante**
Os buckets do Amazon S3 com autenticação multifator (MFA) ativada não são suportados.
As regras de ciclo de vida modificadas por esse runbook excluem permanentemente todos os objetos e suas versões no bucket do Amazon S3 especificado. Você não pode recuperar objetos excluídos permanentemente. Para obter mais informações, consulte [Expiring Objects](https://docs.aws.amazon.com//AmazonS3/latest/userguide/lifecycle-expire-general-considerations.html).
**Como funciona?**
O runbook `AWSSupport-EmptyS3Bucket` executa as seguintes etapas de alto nível:
+ Suspende o controle de versão do bucket, se ativado.
+ Atualiza a política do bucket para negar qualquer chamada de `s3:PutObject` API (para evitar novos uploads enquanto ela está sendo esvaziada).
+ Atualiza as regras do ciclo de vida para excluir todos os objetos de acordo com os dias de expiração especificados nos parâmetros de entrada.
**nota**
As versões de objetos protegidas com o Amazon S3 Object Lock não são excluídas nem substituídas pelas configurações do ciclo de vida.
O processo de exclusão é assíncrono e pode levar algum tempo para ser concluído após o término da execução do runbook.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-EmptyS3Bucket)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
/
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
O AutomationAssumeRole parâmetro requer as seguintes ações para usar o runbook com êxito:
+ sms: DescribeAutomationExecutions
+ sms: GetAutomationExecution
+ s3: GetBucketVersioning
+ s3: PutBucketVersioning
+ s3: GetBucketPolicy
+ s3: GetBucketLifecycleConfiguration
+ s3: GetLifecycleConfiguration
+ s3: PutBucketPolicy
+ s3: PutBucketLifecycleConfiguration
+ s3: PutLifecycleConfiguration
+ s3: DeleteBucketPolicy
+ s3: DeleteBucketLifecycle
**Instruções**
Siga estas etapas para configurar a automação:
1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description)em Systems Manager em Documentos.
1. Selecione Execute automation (Executar automação).
1. Para os parâmetros de entrada, insira o seguinte:
+ **AutomationAssumeRole (Opcional):**
O Amazon Resource Name (ARN) da função AWS AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
+ **S3: BucketName**
O nome do bucket do Amazon S3 que você deseja esvaziar.
+ **SNSTopicBraço:**
Forneça o ARN do tópico do Amazon SNS para notificação de aprovação. Esse tópico do Amazon SNS é usado para enviar notificações de aprovação quando necessário durante a execução da automação.
+ **Aprovação:**
Forneça uma lista de diretores AWS autenticados que possam aprovar ou rejeitar a ação. O número máximo de aprovadores é`10`. Você pode especificar os principais usando qualquer um desses formatos, um nome de usuário AWS Identity and Access Management (IAM), um ARN de usuário do IAM, um ARN de função do IAM ou um ARN de usuário da função assumida pelo IAM.
+ **MinimumRequiredApprovals(Opcional):**
O número mínimo de aprovações necessárias para retomar a automação. Se você não especificar um valor, o sistema usará como padrão. `1` O valor desse parâmetro deve ser um número positivo. O valor desse parâmetro não pode exceder o número de aprovadores definido pelo parâmetro ApproveRiam.
+ **NoncurrentVersionExpirationDays(Opcional):**
Especifique o número de dias em que as versões não atuais do objeto expiram. Após a expiração, o Amazon S3 exclui permanentemente as versões de objetos não atuais.
+ Padrão: `1`
+ Valor máximo: `365`
+ **ExpirationDays (Opcional):**
Especifique a expiração do ciclo de vida do objeto no formato dias.
+ Padrão: `1`
+ Valor máximo: `365`
+ **AbortIncompleteMultipartUpload(Opcional):**
Especifique os dias, desde o início de um upload incompleto de várias partes, que o Amazon S3 aguardará antes de remover permanentemente todas as partes do upload.
+ Padrão: `1`
+ Valor máximo: `365`
+ **Reconhecimento:**
Leia os detalhes completos das ações realizadas por este runbook de automação e forneça consentimento `Yes, I understand and acknowledge` se você reconhecer as etapas.
![\[Imagem contendo exemplos de parâmetros de entrada para o documento AWSSupport-EmptyS 3Bucket.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_input_parameters.png)
1. Selecione Executar.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **`checkConcurrency`**:
Garante que haja apenas uma execução desse runbook direcionada ao bucket especificado do Amazon S3. Se o runbook encontrar outra execução em andamento com o mesmo nome de bucket, ele retornará um erro e terminará.
+ **`getBucketVersioningConfiguration`**:
Busca o status de versionamento do bucket Amazon S3 especificado.
+ **`branchOnStoppingIfMFADeleteEnabled`**(condicional):
Interrompe a automação se a Autenticação Multifator (MFA) estiver habilitada no bucket do Amazon S3 especificado.
+ **`approvalToMakeChangesToTheProvidedS3Bucket`**:
Aguarda a aprovação dos diretores designados para desativar o controle de versão do bucket e atualizar a política do bucket e a configuração das regras de ciclo de vida do bucket Amazon S3 especificado.
+ **`branchOnBucketVersioningStatus`**(condicional):
Se o controle de versão estiver ativado no bucket do Amazon S3 especificado, desative-o, caso contrário, continue atualizando a política do bucket e a configuração do ciclo de vida.
+ **`suspendBucketVersioning`**:
Suspende o estado de versionamento do bucket Amazon S3 especificado.
+ **`updateBucketPolicyAndLifeCycleConfiguration`**:
Adiciona ou atualiza a política do bucket para negar todas as `s3:PutObject` solicitações e atualiza a configuração do ciclo de vida para expirar objetos com base nos parâmetros de entrada fornecidos pelo usuário.
+ **`branchOnFailingIfBucketPropertiesNotUpdated`**(condicional):
Verifica o status da `updateBucketPolicyAndLifeCycleConfiguration` etapa e tenta reverter o estado de versionamento original do bucket se alterado pela automação.
+ **`branchOnFailureOriginalVersioningStatus`**(condicional):
Em caso de falha, ramifica para determinar o status original do controle de versão. Se foi ativado e suspenso por essa automação, tenta habilitá-la novamente.
+ **`onFailureRestoreBucketVersioning`**
Restaura o estado de versionamento ativado do bucket Amazon S3 especificado.
1. Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:
![\[Imagem contendo a saída da execução do documento AWSSupport-EmptyS 3Bucket mostrando a execução bem-sucedida e a política de ciclo de vida configurada.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_outputs.png)
+ **Execução bem-sucedida**
Esse fluxo de trabalho atualiza a regra de ciclo de vida do bucket. Os objetos serão excluídos de acordo com a política de `Delete-All-AWSSupport-EmptyS3-Bucket` ciclo de vida.
![\[Imagem contendo a política de ciclo de vida Delete-All-AWSSupport-EmptyS de 3 buckets configurada.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-empty-s3-bucket_outputs_lifecycle_policy.png)
+ **Falha na execução**
A exclusão parcial não será executada. Se a execução falhar, o ciclo de vida e outras configurações do bucket serão revertidas.
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-EmptyS3Bucket/description)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Fluxos de trabalho de automação de suporte](https://aws.amazon.com/premiumsupport/technology/saw/)
Para obter mais informações sobre o gerenciamento de buckets e objetos do Amazon S3, consulte [Esvaziar](https://docs.aws.amazon.com//AmazonS3/latest/userguide/empty-bucket.html) um bucket.
# `AWSSupport-TroubleshootS3EventNotifications`
**Descrição**
O runbook de `AWSSupport-TroubleshootS3EventNotifications` AWS Systems Manager automação ajuda a solucionar problemas de notificações de eventos de bucket do Amazon Simple Storage Service (Amazon S3) configuradas com AWS Lambda Functions, Amazon Simple Notification Service (Amazon SNS) Topics ou Amazon Simple Queue Service (Amazon SQS) Queues. Ele fornece um relatório de configurações dos diferentes recursos configurados com o Amazon S3 Bucket como uma notificação de evento de destino.
**Como funciona?**
O runbook executa as seguintes etapas:
+ Verifica se o Amazon S3 Bucket existe na mesma conta em que `AWSSupport-TroubleshootS3EventNotifications` é executado.
+ Busca os recursos de destino (AWS Lambda função, tópico do Amazon SNS ou fila do Amazon SQS) configurados como notificações de eventos para o bucket do Amazon S3 usando a API. [GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)
+ Valida a existência do recurso de destino e, em seguida, analisa a política baseada em recursos dos recursos de destino para determinar se o Amazon S3 tem permissão para publicar no destino.
+ Se você criptografou o destino com uma chave AWS Key Management Service (AWS KMS), a política de chaves é verificada para determinar se o acesso ao Amazon S3 é permitido.
+ Gera um relatório de todas as verificações de recursos de destino.
**Importante**
Esse runbook só pode avaliar as configurações de notificação de eventos se o proprietário do bucket do Amazon S3 for o mesmo proprietário em que Conta da AWS o runbook de automação está sendo executado.
Além disso, esse runbook não pode avaliar políticas em recursos de destino hospedados em outro Conta da AWS.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootS3EventNotifications)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ S3 BucketName
Tipo: `AWS::S3::Bucket::Name`
Descrição: (Obrigatório) O nome do bucket Amazon S3 configurado com notificação (ões) de eventos.
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:GetBucketNotification`
+ `sqs:GetQueueAttributes`
+ `sqs:GetQueueUrl`
+ `sns:GetTopicAttributes `
+ `kms:GetKeyPolicy`
+ `kms:DescribeKey`
+ `kms:ListAliases`
+ `lambda:GetPolicy`
+ `lambda:GetFunction`
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`
+ `iam:ListRoles`
+ `ssm:DescribeAutomationStepExecutions`
**Exemplo de política do IAM para a função Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permission",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "S3PermissionGetBucketNotification",
"Effect": "Allow",
"Action": [
"s3:GetBucketNotification"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": "SQSPermission",
"Effect": "Allow",
"Action": [
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
],
"Resource": "arn:aws:sqs:us-east-1:111122223333:*"
},
{
"Sid": "SNSPermission",
"Effect": "Allow",
"Action": [
"sns:GetTopicAttributes"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:GetKeyPolicy",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id"
},
{
"Sid": "LambdaPermission",
"Effect": "Allow",
"Action": [
"lambda:GetPolicy",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:*"
},
{
"Sid": "IAMPermission",
"Effect": "Allow",
"Action": [
"iam:GetContextKeysForCustomPolicy",
"iam:SimulateCustomPolicy",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SSMPermission",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationStepExecutions"
],
"Resource": "*"
}
]
}
```
------
**Instruções**
Siga estas etapas para configurar a automação:
1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description)em Systems Manager em Documentos.
1. Selecione Execute automation (Executar automação).
1. Para os parâmetros de entrada, insira o seguinte:
+ **AutomationAssumeRole (Opcional):**
O Amazon Resource Name (ARN) da função AWS AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
+ **S3 BucketName (obrigatório):**
O nome do bucket do Amazon S3 configurado com notificação (ões) de eventos.
![\[AWSSupport-TroubleshootS3 parâmetros de entrada de execução do EventNotification runbook.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-s3-event-notifications_input_parameters.png)
1. Selecione Executar.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **ValidateInputs**
Valida que o bucket Amazon S3 fornecido pertence à mesma conta em que a automação é executada e busca a região em que o bucket está hospedado.
+ **GetBucketNotificationConfiguration**
Chama a `GetBucketNotificationConfiguration` API para revisar as notificações de eventos configuradas com o bucket do Amazon S3 e formata a saída.
+ **BranchOnSQSResourcePolítica**
Define se há recursos do Amazon SQS nas notificações de eventos.
+ **Validar política SQSResource**
Valida a política de recursos nos atributos do Amazon SQS Queue que `sqs:SendMessage` tem permissão para o Amazon S3. Se o recurso Amazon SQS estiver criptografado, verifica se a criptografia não está usando a AWS KMS chave padrão, ou seja, `aws/sqs` e verifica se a política de AWS KMS chaves tem permissões para o Amazon S3.
+ **BranchOnSNSResourcePolítica**
Define se há recursos do Amazon SNS nas notificações de eventos.
+ **Validar política SNSResource**
Valida a política de recursos no Amazon SNS. Os atributos de tópico `sns:Publish` têm permissão para o Amazon S3. Se o recurso do Amazon SNS estiver criptografado, verifica se a criptografia não está usando a AWS KMS chave padrão, ou seja, `aws/sns` e verifica se a política de AWS KMS chaves tem permissões para o Amazon S3.
+ **BranchOnLambdaFunctionResourcePolicy**
Explica se há AWS Lambda funções nas notificações de eventos.
+ **ValidateLambdaFunctionResourcePolicy**
Valida a política de recursos se AWS Lambda a função tem `lambda:InvokeFunction` permissão para o Amazon S3.
+ **GenerateReport**
Retorna detalhes das etapas, saídas e recomendações do runbook para resolver qualquer problema com as notificações de eventos configuradas com o bucket do Amazon S3.
1. Depois de concluído, revise a seção Saídas para obter os resultados detalhados da execução:
+ **Notificações de eventos do Amazon SQS**
Se houver notificações de destino do Amazon SQS configuradas com o bucket do Amazon S3, uma lista das filas do Amazon SQS será exibida junto com os resultados das verificações. O relatório inclui verificação de recursos do Amazon SQS, verificação da política de acesso do Amazon SQS, verificação da chave AWS KMS , verificação do status da chave AWS KMS e verificação da política da chave. AWS KMS
+ **Notificações de eventos do Amazon SNS**
Se houver notificações de destino do Amazon SNS configuradas com o bucket do Amazon S3, uma lista dos tópicos do Amazon SNS será exibida junto com os resultados das verificações. O relatório inclui verificação de recursos do Amazon SNS, verificação da política de acesso do Amazon SNS, verificação da chave AWS KMS , verificação do status da chave AWS KMS e verificação da política da chave. AWS KMS
+ **AWS Lambda Notificações de eventos**
Se houver notificações de AWS Lambda destino configuradas com o bucket do Amazon S3, uma lista das funções do Lambda será exibida junto com os resultados das verificações. O relatório inclui a verificação de recursos do Lambda e a verificação da política de acesso do Lambda.
![\[AWSSupport-TroubleshootS3 exemplos de saída de execução do EventNotification runbook.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-s3-event-notifications_outputs.png)
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootS3EventNotifications/description)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Página inicial dos fluxos de trabalho de automação](https://aws.amazon.com/premiumsupport/technology/saw/)
# `AWSSupport-ContainS3Resource`
**Descrição**
O `AWSSupport-ContainS3Resource` runbook fornece uma solução automatizada para o procedimento descrito no artigo [Support Automation Workflow (SAW) Runbook: Contain a compromised Amazon AWS S3](https://repost.aws/articles/ARhGc0hDqKRIKAVCbmF1GmuQ) Bucket
**Importante**
Esse runbook executa várias operações que exigem privilégios elevados, como modificar políticas de bucket, tags e configurações de acesso público do Amazon S3. Essas ações podem potencialmente levar à escalação de privilégios ou impactar outras cargas de trabalho que dependem do bucket do Amazon S3 de destino. Você deve analisar as permissões concedidas à função especificada pelo `AutomationAssumeRole` parâmetro e garantir que elas sejam apropriadas para o caso de uso pretendido. Você pode consultar a AWS documentação a seguir para obter mais informações sobre as permissões do IAM: [https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html).
Esse runbook executa ações mutativas que podem causar indisponibilidade ou interrupção em suas cargas de trabalho. Especificamente, a `Contain` ação bloqueia todo o acesso ao bucket especificado do Amazon S3, exceto as funções especificadas no `SecureRoles` parâmetro. Isso pode afetar qualquer aplicativo ou serviço que dependa do bucket Amazon S3 de destino.
Durante a `Contain` ação, esse runbook pode criar um bucket adicional do Amazon S3 (especificado pelo `BackupS3BucketName` parâmetro) para armazenar o backup da configuração do bucket original, caso ela ainda não exista.
Se o `Action` parâmetro estiver definido como`Restore`, esse runbook tentará restaurar a configuração do bucket do Amazon S3 para seu estado original com base no backup armazenado no `BackupS3BucketName` bucket. No entanto, existe o risco de que o processo de restauração falhe, deixando o bucket do Amazon S3 em um estado inconsistente. O runbook fornece instruções para restauração manual em caso de falhas desse tipo, mas você deve estar preparado para lidar com possíveis problemas durante o processo de restauração.
É recomendável revisar o runbook minuciosamente, entender seus possíveis impactos e testá-lo em um ambiente que não seja de produção antes de executá-lo em seu ambiente de produção.
**Como funciona?**
Esse runbook opera de forma diferente com base no tipo de recurso e na ação:
+ Para Amazon S3 General Purpose Bucket`Containment`: a automação bloqueia o acesso público ao bucket, desativa a configuração da ACL, impõe a propriedade do Bucket Owner Object e impõe uma política restritiva de bucket negando todas as ações do Amazon S3 ao bucket, exceto para permitir funções do IAM listadas.
+ Para o objeto de uso geral do Amazon S3`Containment`: a automação bloqueia o acesso público ao bucket, desativa a configuração da ACL, impõe a propriedade do objeto do proprietário do bucket e impõe uma política restritiva de bucket negando todas as ações do Amazon S3 no objeto, exceto as funções do IAM listadas como permitidas.
+ Para o Amazon S3 Directory Bucket`Containment`: a automação coloca uma política restritiva de bucket negando todas as ações do Amazon S3 ao bucket, exceto as funções do IAM listadas como permitidas.
+ Para o Amazon S3 General Purpose Bucket`Restore`: a automação restaura a configuração de acesso público do bloco, a configuração da ACL do bucket, a propriedade do objeto do proprietário do bucket e a política do bucket para a configuração inicial antes da contenção.
+ Para o objeto de uso geral do Amazon S3`Restore`: a automação restaura a configuração de acesso público do bloco, a configuração da ACL do bucket, a configuração da ACL do objeto, a propriedade do objeto do proprietário do bucket e a política do bucket para a configuração inicial antes da contenção.
+ Para o Amazon S3 Directory Bucket`Restore`: a automação restaura a política do bucket para a configuração inicial antes da contenção.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainS3Resource)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataforma**
/
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ s3: CreateBucket
+ s3: DeleteBucketPolicy
+ s3: DeleteObjectTagging
+ s3: GetAccountPublicAccessBlock
+ s3: GetBucketAcl
+ s3: GetBucketLocation
+ s3: GetBucketOwnershipControls
+ s3: GetBucketPolicy
+ s3: GetBucketPolicyStatus
+ s3: GetBucketTagging
+ s3: GetEncryptionConfiguration
+ s3: GetObject
+ s3: GetObjectAcl
+ s3: GetObjectTagging
+ s3: GetReplicationConfiguration
+ s3: ListBucket
+ s3: PutAccountPublicAccessBlock
+ s3: ACL PutBucket
+ s3: PutBucketOwnershipControls
+ s3: PutBucketPolicy
+ s3: PutBucketPublicAccessBlock
+ s3: PutBucketTagging
+ s3: PutBucketVersioning
+ s3: PutObject
+ s3: PutObjectAcl
+ s3 express diz: CreateSession
+ s3 express diz: DeleteBucketPolicy
+ s3 express diz: GetBucketPolicy
+ s3 express diz: PutBucketPolicy
+ sms: DescribeAutomationExecutions
Aqui está um exemplo de uma política do IAM que concede as permissões necessárias para`AutomationAssumeRole`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteObjectTagging",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketOwnershipControls",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketTagging",
"s3:GetEncryptionConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:PutAccountPublicAccessBlock",
"s3:PutBucketACL",
"s3:PutBucketOwnershipControls",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "*"
},
{
"Sid": "S3ExpressPermissions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession",
"s3express:DeleteBucketPolicy",
"s3express:GetBucketPolicy",
"s3express:PutBucketPolicy"
],
"Resource": "*"
},
{
"Sid": "SSMPermissions",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions"
],
"Resource": "*"
}
]
}
```
------
**Instruções**
Siga estas etapas para configurar a automação:
1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description)em Systems Manager em Documentos.
1. Selecione Execute automation (Executar automação).
1. Para os parâmetros de entrada, insira o seguinte:
+ **BucketName (Obrigatório):**
+ Descrição: (Obrigatório) O nome do bucket do Amazon S3.
+ Tipo: `AWS::S3::Bucket::Name`
+ **Ação (obrigatória):**
+ Descrição: (Obrigatório) Selecione `Contain` para isolar o recurso Amazon S3 `Restore` ou tentar restaurar a configuração do recurso ao seu estado original a partir de um backup anterior.
+ Tipo: string
+ Valores permitidos: `Contain|Restore`
+ **DryRun (Opcional):**
+ Descrição: (Opcional) Quando definida como verdadeira, a automação não fará nenhuma alteração no recurso de destino do Amazon S3; em vez disso, ela exibirá o que teria tentado alterar. Valor padrão: true.
+ Tipo: booliano
+ Valores permitidos: `true|false`
+ **BucketKeyName (Opcional):**
+ Descrição: (Opcional) A chave do objeto Amazon S3 que você deseja conter ou restaurar. Usado durante a contenção em nível de objeto.
+ Tipo: string
+ Allowed-pattern: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **BucketRestrictAccess(Condicional):**
+ Descrição: (Condicional) O ARN dos usuários ou funções do IAM que terão acesso ao recurso de destino do Amazon S3 após a execução das ações de contenção. Esse parâmetro é necessário quando `Action` está definido como `Contain`.
+ Tipo: StringList
+ Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Opcional):**
+ Descrição: (Opcional) Uma tag no formato Key=BatchId, Value=78925 que será adicionada aos recursos criados ou modificados por esse runbook durante o fluxo de trabalho de contenção.
+ Tipo: string
+ Allowed-pattern: `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
+ **Backups 3 BucketName (condicionais):**
+ Descrição: (Condicional) O bucket do Amazon S3 para fazer backup da configuração do recurso de destino quando definido como ou `Contain` para restaurar `Action` a configuração a partir `Action` do momento em que está definido. `Restore`
+ Tipo: `AWS::S3::Bucket::Name`
+ **Backups 3 KeyName (condicionais):**
+ Descrição: (Condicional) Se `Action` estiver definido como`Restore`, isso especifica a chave do Amazon S3 que a automação usará para tentar restaurar a configuração do recurso de destino.
+ Tipo: string
+ Allowed-pattern: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **Backups 3 BucketAccess (condicionais):**
+ Descrição: (Condicional) O ARN dos usuários ou funções do IAM que terão acesso ao bucket de backup do Amazon S3 após a execução das ações de contenção. Esse parâmetro é necessário quando `Action` é`Contain`.
+ Tipo: StringList
+ Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **AutomationAssumeRole (Opcional):**
+ Descrição: (Opcional) O Amazon Resource Name (ARN) da função do IAM que permite que o Systems Manager Automation execute as ações em seu nome.
+ Tipo: `AWS::IAM::Role::Arn`
1. Selecione Executar.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **validateRequiredInputs**
Valida os parâmetros de entrada de automação necessários com base na Ação especificada.
+ **assertBucketExists**
Verifica se o bucket de destino do Amazon S3 existe e está acessível.
+ **backupBucketPreCheques**
Verifica se o bucket de backup do Amazon S3 potencialmente concede acesso público de leitura ou gravação a seus objetos.
+ **backupTargetBucketMetadados**
Descreve a configuração atual do bucket do Amazon S3 de destino e carrega o backup para o bucket de backup especificado do Amazon S3.
+ **Contenha um balde**
Executa operações em nível de bucket para conter o bucket de destino do Amazon S3.
+ **BranchOnActionAndMode**
Ramifica a automação com base nos parâmetros de entrada Action DryRun e.
+ **RestoreInstanceConfiguration**
Restaura a configuração do bucket do Amazon S3 a partir do backup.
+ **containFinalOutput**
Consolida a atividade de contenção em formato legível.
+ **ReportContain**
Produz detalhes de funcionamento a seco para as ações de contenção.
+ **ReportRestore**
Produz detalhes de funcionamento a seco para as ações de restauração.
+ **ReportRestoreFailure**
Fornece instruções para restaurar a configuração original do bucket do Amazon S3 durante um cenário de falha no fluxo de trabalho de restauração.
+ **ReportContainmentFailure**
Fornece instruções para restaurar a configuração original do bucket Amazon S3 durante um cenário de falha no fluxo de trabalho de contenção.
+ **FinalOutput**
Exibe os detalhes das ações de contenção.
1. Após a conclusão da execução, revise a seção Saídas para obter os resultados detalhados da execução:
+ **ContainFinalOutput.Saída**
Exibe os detalhes das ações de contenção realizadas por esse runbook quando `DryRun` está definido como False.
+ **RestoreFinalOutput.Saída**
Exibe os detalhes das ações de restauração executadas por esse runbook quando `DryRun` está definido como False.
+ **Contém 3. Saída ResourceDryRun**
Exibe os detalhes das ações de contenção realizadas por esse runbook quando `DryRun` está definido como True.
+ **Restore S3. Saída ResourceDryRun**
Exibe os detalhes das ações de restauração executadas por esse runbook quando `DryRun` está definido como True.
+ **ReportContainmentFailure.Saída**
Fornece instruções para restaurar a configuração original do recurso Amazon S3 de destino durante um cenário de falha no fluxo de trabalho de contenção.
+ **ReportRestoreFailure.Saída**
Fornece instruções para restaurar a configuração original do recurso Amazon S3 de destino durante um cenário de falha no fluxo de trabalho de restauração.
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainS3Resource/description)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Fluxos de trabalho de automação de suporte](https://aws.amazon.com/premiumsupport/technology/saw/)