• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). # Ajustar as configurações do Systems Manager As opções nas páginas **Configurações** habilitam e configuram recursos no console unificado do Systems Manager. As opções exibidas dependem da conta na qual você está conectado e se você já configurou ou não o Systems Manager. **nota** As opções na página **Configurações** não afetam as ferramentas do Systems Manager (anteriormente chamadas de recursos). ## Configurações da conta Se o Systems Manager estiver habilitado e você estiver conectado a uma conta que não é membro do Organizations ou se o administrador delegado não tiver adicionado sua conta do Organizations ao Systems Manager, a página **Configuração da conta** mostrará a opção **Desabilitar o Systems Manager**. Desabilitar o Systems Manager significa que o Systems Manager não exibirá o console unificado. Todas as ferramentas do Systems Manager ainda funcionam. ## Configurações organizacionais Na guia **Configuração organizacional**, a seção **Região de origem** exibe a região Região da AWS escolhida como a região de origem durante a configuração. Em ambientes com várias contas e várias regiões que usam o AWS Organizations, o Systems Manager agrega automaticamente os dados dos nós de todas as contas e regiões na região de origem. Agregar dados dessa forma permite que você visualize os dados dos nós em todas as contas e regiões em um único local. **nota** Caso deseje alterar a região de origem, será necessário desabilitar o Systems Manager e habilitá-lo novamente. Para desabilitar o Systems Manager, selecione **Desabilitar**. A seção **Configuração organizacional** exibe as unidades organizacionais da AWS e as Regiões da AWS escolhidas durante a configuração. Para alterar quais unidades organizacionais e regiões exibem dados de nós no Systems Manager, escolha **Editar**. Para obter mais informações sobre a configuração do Systems Manager for Organizations, consulte [Configurar o AWS Systems Manager](systems-manager-setting-up-console.md). ## Configurações de recursos A seção **Configurações de recursos** permite a você habilitar e configurar os principais recursos do Systems Manager que aprimoram o gerenciamento de nós em sua organização. Esses recursos trabalham juntos para fornecer gerenciamento automatizado, monitoramento de conformidade e manutenção dos seus nós gerenciados. Você pode configurar esses recursos durante a configuração inicial do Systems Manager ou modificá-los posteriormente por meio da página Configurações. Cada recurso pode ser ativado ou desativado de forma independente com base nos requisitos da sua organização. ### Configuração de gerenciamento de host padrão A Configuração de gerenciamento de hosts padrão (DHMC) configura automaticamente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em sua organização para ser gerenciadas pelo Systems Manager. Quando habilitada, a DHMC garante que as instâncias do EC2 novas e existentes tenham as permissões e configurações do AWS Identity and Access Management (IAM) necessárias para se comunicar com os serviços do Systems Manager. O DHMC fornece os seguintes benefícios: + **Atribuição automática de perfis do IAM**: garante que as instâncias do EC2 tenham os perfis e políticas do IAM necessários para funcionar como nós gerenciados + **Correção de desvios**: corrige automaticamente os desvios de configuração quando as instâncias perdem o status de nó gerenciado + **Integração simplificada**: reduz as etapas de configuração manual para novas instâncias + **Configuração consistente**: mantém configurações uniformes em toda a sua frota do EC2 #### Configurar a frequência de correção de desvios A correção de desvios detecta e corrige automaticamente quando as instâncias do EC2 perdem sua configuração de nó gerenciado. É possível configurar a frequência com que o Systems Manager verifica e corrige os desvios de configuração. **Para ajustar a Configuração de gerenciamento de hosts padrão** 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, selecione **Configurações**. 1. Na seção **Configurações de recursos**, localize **Configuração de gerenciamento de hosts padrão**. 1. Para habilitar a DHMC, ative a chave seletora. 1. Para **Frequência de correção de desvios**, escolha com que frequência você deseja que o Systems Manager verifique e corrija o desvio de configuração: + **Diariamente**: verifica e corrige desvios uma vez por dia + **Semanalmente**: verifica e corrige desvios uma vez por semana + **Mensalmente**: verifica e corrige desvios uma vez por mês 1. Escolha **Salvar**. **nota** Quando você habilita a DHMC, o Systems Manager cria os perfis e políticas do IAM necessários em sua conta. Esses perfis permitem que as instâncias do EC2 se comuniquem com os serviços do Systems Manager. Para obter mais informações sobre os perfis do IAM criados pela DHMC, consulte [Gerenciar instâncias do EC2 com o Systems Manager](systems-manager-setting-up-ec2.md). ### Coleta de metadados de inventário A coleta de metadados de inventário reúne automaticamente informações detalhadas sobre seus nós gerenciados, incluindo aplicações instaladas, configurações de rede, atualizações do sistema e outros metadados do sistema. Essas informações ajudam você a manter a conformidade, realizar análises de segurança e entender a composição da sua infraestrutura. A coleta de inventário oferece os seguintes benefícios: + **Monitoramento da conformidade**: acompanhe o software instalado e as configurações para relatórios de conformidade + **Análise de segurança**: identifique software desatualizado e possíveis vulnerabilidades de segurança + **Gerenciamento de ativos**: mantenha um inventário atualizado da sua infraestrutura + **Recursos de consulta**: use os dados coletados com o Amazon Q Developer para consultas em linguagem natural #### Tipos de dados de inventário coletados Quando a coleta de metadados de inventário está habilitada, o Systems Manager coleta os seguintes tipos de informações de seus nós gerenciados: + **Aplicações**: pacotes de software e aplicações instalados + **Configurações de rede**: interfaces de rede, endereços IP e configurações de rede + **Atualizações do sistema**: patches instalados e atualizações disponíveis + **Propriedades do sistema**: especificações de hardware, detalhes do sistema operacional e configurações do sistema + **Serviços**: serviços em execução e suas configurações #### Configurar a frequência da coleta de inventário É possível configurar a frequência na qual o Systems Manager coleta metadados de inventário dos nós gerenciados. A coleta mais frequente fornece informações mais atualizadas, mas pode aumentar o uso do serviço da AWS. **Para configurar a coleta de metadados do inventário** 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, selecione **Configurações**. 1. Na seção **Configurações de recursos**, localize **Coleta de metadados de inventário**. 1. Para habilitar a coleta de inventário, ative a chave seletora. 1. Em **Frequência de coleta**, escolha com que frequência você deseja que o Systems Manager colete dados de inventário: + **Diariamente**: coleta dados de inventário uma vez por dia + **Semanalmente**: coleta dados de inventário uma vez por semana + **Mensalmente**: coleta dados de inventário uma vez por mês 1. Escolha **Salvar**. **Importante** A coleta de inventário exige que os nós gerenciados tenham as permissões necessárias para coletar informações do sistema. Certifique-se de que seus nós gerenciados tenham os perfis e políticas apropriados do IAM. Para obter mais informações sobre as permissões necessárias, consulte [AWS Systems Manager Inventory](systems-manager-inventory.md). ### SSM AgentAtualizações do As atualizações automáticas do SSM Agent garantem que seus nós gerenciados estejam executando a versão mais recente do SSM Agent. Manter o agente atualizado fornece acesso aos recursos, melhorias de segurança e correções de erros mais recentes. As atualizações automáticas do SSM Agent oferecem os seguintes benefícios: + **Recursos mais recentes**: acesso aos novos recursos e melhorias do Systems Manager + **Atualizações de segurança**: instalação automática de patches e correções de segurança + **Confiabilidade aprimorada**: correções de erros e melhorias na estabilidade + **Manutenção reduzida**: elimina a necessidade de atualizações manuais do agente #### Configurar atualizações automáticas do agente É possível configurar a frequência com que o Systems Manager verifica e instala atualizações do SSM Agent em seus nós gerenciados. Fazer atualizações regularmente ajuda a garantir níveis ideais de performance e segurança. **Para configurar atualizações do SSM Agent** 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, escolha **Configurações**. 1. Na seção **Configurações de recursos**, localize **Atualizações do SSM Agent**. 1. Para habilitar as atualizações automáticas, ative a chave seletora. 1. Para **Frequência de atualização**, escolha com que frequência você deseja que o Systems Manager verifique e instale as atualizações do agente: + **Diariamente**: verifica se há atualizações uma vez por dia + **Semanalmente**: verifica se há atualizações uma vez por semana + **Mensalmente**: verifica se há atualizações uma vez por mês 1. Escolha **Salvar**. ## Configurações de Diagnosticar e corrigir As configurações de **Diagnosticar e corrigir** determinam se o Systems Manager verifica automaticamente seus nós para garantir que eles possam se comunicar com o Systems Manager. Se habilitado, o recurso é executado automaticamente de acordo com um cronograma definido por você. O recurso identifica quais nós não podem se conectar ao Systems Manager e por quê. Esse recurso também fornece runbooks recomendados para corrigir problemas de rede e outros problemas que impedem que os nós sejam configurados como nós gerenciados. ### Programar uma verificação de diagnóstico recorrente O Systems Manager pode diagnosticar e ajudar você a corrigir vários tipos de falhas de implantação, bem como configurações desviadas. O Systems Manager também pode identificar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em sua conta ou organização que o Systems Manager não pode tratar como um *nó gerenciado*. O processo de diagnóstico de instâncias do EC2 pode identificar problemas relacionados a configurações incorretas em uma nuvem privada virtual (VPC), em uma configuração do Domain Name Service (DNS) ou em um grupo de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Para simplificar a tarefa de identificar nós que não conseguem se conectar ao Systems Manager, o recurso **Programar diagnóstico recorrente** permite automatizar uma verificação de diagnóstico recorrente. As verificações ajudam a identificar quais nós não podem se conectar ao Systems Manager e por quê. Use o procedimento a seguir para habilitar e configurar uma verificação de diagnóstico recorrente de seus nós. **Para programar uma verificação de diagnóstico recorrente** 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, selecione **Configurações** e em seguida, a guia **Diagnosticar e corrigir**. 1. Ative a opção **Programar diagnóstico recorrente**. 1. Em **Período de verificação**, escolha a frequência na qual você deseja que a verificação seja executada. 1. (Opcional) Em **Hora de início**, insira uma hora, no formato de 24 horas, para o início do diagnóstico. Por exemplo, para às 8h15 da noite, insira **20:15**. A hora inserida deve estar no fuso horário local atual. Se você não especificar uma hora, a verificação de diagnóstico será executada imediatamente. O Systems Manager também programa a verificação para ser executada no futuro no horário atual. Se você especificar um horário, o Systems Manager aguardará para executar a verificação de diagnóstico no horário especificado. 1. Escolha **Salvar**. 1. Depois que a verificação for concluída, visualize os detalhes escolhendo **Diagnosticar e corrigir** no painel de navegação à esquerda. Para obter mais informações sobre o recurso **Diagnosticar e corrigir**, consulte [Diagnosticar e remediar](diagnose-and-remediate.md). ### Atualizar a criptografia do bucket do S3 Quando você integra o Systems Manager, a Configuração Rápida cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado para configurações do AWS Organizations. Para configurações de conta única, o bucket é armazenado na conta que está sendo configurada. Esse bucket é usado para armazenar os metadados gerados durante as verificações de diagnóstico. Para obter mais informações sobre a configuração do console unificado do Systems Manager, consulte [Configurar o AWS Systems Manager](systems-manager-setting-up-console.md). Por padrão, seus dados no bucket são criptografados usando uma chave AWS Key Management Service (AWS KMS) que pertence a e é gerenciada pela AWS para você. Você pode optar por usar uma chave do AWS KMS diferente para criptografar o bucket. Outra opção é usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) utilizando uma chave gerenciada pelo cliente (CMK). Para mais informações, consulte [Como trabalhar com buckets do Amazon S3 e com políticas de bucket para o Systems Manager](systems-manager-diagnosis-metadata-bucket.md). **Para usar uma chave do AWS KMS diferente para criptografar o bucket do S3** 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, selecione **Configurações** e em seguida, a guia **Diagnosticar e corrigir**. 1. Na área **Atualizar criptografia do bucket do S3**, escolha **Editar**. 1. Marque a caixa de seleção **Personalizar configurações de criptografia (avançadas)**. 1. Em **Escolher uma chave do AWS KMS**, escolha ou insira o nome do recurso da Amazon (ARN) da chave. **dica** Para criar uma nova chave, escolha **Criar uma chave do AWS KMS**. 1. Escolha **Salvar**. # Como trabalhar com buckets do Amazon S3 e com políticas de bucket para o Systems Manager Durante o [processo de integração](systems-manager-setting-up-console.md) do AWS Systems Manager, o Quick Setup cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta de administrador delegado para configurações da organização. Para configurações de conta única, o bucket é armazenado na conta que está sendo configurada. É possível usar o Systems Manager para executar operações de diagnóstico em sua frota para identificar casos de falhas em implantações e configurações com desvios. O Systems Manager também pode detectar casos em que problemas de configuração estão impedindo o Systems Manager de gerenciar instâncias do EC2 em sua conta ou organização. Os resultados dessas operações de diagnóstico são armazenados nesse bucket do Amazon S3, o qual é protegido por um método de criptografia e por uma política de bucket do S3. Para obter informações sobre as operações de diagnóstico que geram dados para esse bucket, consulte [Diagnosticar e remediar](diagnose-and-remediate.md). **Alterar o método de criptografia do bucket** Por padrão, o bucket do S3 usa criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3). Em vez disso, você pode usar criptografia do lado do servidor com AWS KMS keys (SSE-KMS) usando uma chave gerenciada pelo cliente (CMK) como alternativa às chaves gerenciadas pelo Amazon S3, conforme explicado em [Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3](remediate-s3-bucket-encryption.md). **Conteúdo da política de buckets** A política de buckets impede que as contas-membro de uma organização descubram umas às outras. As permissões de leitura e gravação no bucket são permitidas somente para os perfis de diagnóstico e remediação criados para o Systems Manager. O conteúdo dessas políticas geradas pelo sistema é apresentado em [Políticas de bucket do S3 para o console unificado do Systems Manager](remediate-s3-bucket-policies.md). **Atenção** A modificação da política de bucket padrão pode permitir que as contas-membro de uma organização descubram umas as outras ou leiam os resultados de diagnóstico de instâncias em outra conta. Recomendamos ter muito cuidado ao optar por modificar essa política. **Topics** + [ # Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3 ](remediate-s3-bucket-encryption.md) + [ # Políticas de bucket do S3 para o console unificado do Systems Manager ](remediate-s3-bucket-policies.md) # Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3 Durante o processo de integração do console unificado do Systems Manager, a Quick Setup cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado. Esse bucket é usado para armazenar os dados de saída de diagnóstico gerados durante as execuções do runbook de correção. Por padrão, o bucket usa criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). Você pode revisar o conteúdo dessas políticas em [Políticas de bucket do S3 para o console unificado do Systems Manager](remediate-s3-bucket-policies.md). No entanto, você pode usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) usando uma chave gerenciada pelo cliente (CMK) como alternativa a uma AWS KMS key. Conclua as tarefas a seguir para configurar o Systems Manager para usar sua CMK. ## Tarefa 1: adicionar uma tag a uma CMK existente O AWS Systems Manager usará sua CMK somente se ela estiver marcada com o seguinte par de chave-valor: + Chave: `SystemsManagerManaged` + Valor:: `true` Use o procedimento a seguir para fornecer acesso para criptografar o bucket do S3 com sua CMK. **Para adicionar uma tag à sua CMK existente** 1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). 1. Na navegação esquerda, escolha **Chaves gerenciadas pelo cliente**. 1. Selecione o AWS KMS key para usar com o AWS Systems Manager. 1. Selecione a guia **Etiquetas** e escolha **Editar**. 1. Escolha **Adicionar Tag**. 1. Faça o seguinte: 1. Em **Tag Key (Chave de tags)**, digite **SystemsManagerManaged**. 1. Em **Valor da tag**, insira **true**. 1. Escolha **Salvar**. ## Tarefa 2: modificar uma política de chave de CMK existente Use o procedimento a seguir para atualizar a [política de chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) da sua CMK para permitir que os perfis do AWS Systems Manager criptografem o bucket do S3 em seu nome. **Para modificar uma política de chave de CMK existente** 1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). 1. Na navegação esquerda, escolha **Chaves gerenciadas pelo cliente**. 1. Selecione o AWS KMS key para usar com o AWS Systems Manager. 1. Na guia **Política de chave**, escolha **Editar**. 1. Adicione a instrução JSON a seguir ao campo `Statement` e substitua os *valores do espaço reservado* por suas próprias informações. Certifique-se de adicionar todas as IDs de Conta da AWS integradas em sua organização ao AWS Systems Manager no campo `Principal`. Para localizar o nome correto do bucket no console do Amazon S3, na conta do administrador delegado, localize o bucket no formato `do-not-delete-ssm-operational-account-id-home-region-disambiguator`. ``` { "Sid": "EncryptionForSystemsManagerS3Bucket", "Effect": "Allow", "Principal": { "AWS": [ "account-id-1", "account-id-2", ... ] }, "Action": ["kms:Decrypt", "kms:GenerateDataKey"], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*" } } } ``` **dica** Como alternativa, é possível atualizar a política de chave de CMK usando a chave de condição [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) para conceder ao AWS Systems Manager acesso à sua CMK. ## Tarefa 3: especificar a CMK nas configurações do Systems Manager Após concluir as duas tarefas anteriores, use o procedimento a seguir para alterar a criptografia do bucket do S3. Essa alteração garante que o processo de configuração da Quick Setup associado possa adicionar permissões para que o Systems Manager aceite sua CMK. 1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/). 1. No painel de navegação, selecione **Configurações**. 1. **Na guia **Diagnosticar e corrigir**, na seção **Atualizar criptografia do bucket S3**, escolha Editar**. 1. Marque a caixa de seleção **Personalizar configurações de criptografia (avançadas)**. 1. Na caixa de pesquisa (![\[The search icon\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)), escolha o ID de uma chave existente ou cole o ARN de uma chave existente. 1. Escolha **Salvar**. # Políticas de bucket do S3 para o console unificado do Systems Manager Este tópico inclui as políticas de bucket do Amazon S3 criadas pelo Systems Manager quando você integra uma organização ou conta única ao console unificado do Systems Manager. **Atenção** A modificação da política de bucket padrão pode permitir que as contas-membro de uma organização descubram umas as outras ou leiam os resultados de diagnóstico de instâncias em outra conta. Recomendamos ter muito cuidado ao optar por modificar essa política. ## Política de bucket do Amazon S3 para uma organização O bucket de diagnóstico é criado com a seguinte política de bucket padrão ao integrar uma organização ao Systems Manager. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyHTTPRequests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "DenyNonSigV4Requests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "s3:SignatureVersion": "AWS4-HMAC-SHA256" } } }, { "Sid": "AllowAccessLog", "Effect": "Allow", "Principal": { "Service": "logging.s3.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket" } } }, { "Sid": "AllowCrossAccountRead", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id" } } }, { "Sid": "AllowCrossAccountWrite", "Effect": "Allow", "Principal": "*", "Action": [ "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id" }, "ArnLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region", "arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region", "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region", "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region" ] } } }, { "Sid": "AllowCrossAccountListUnderAccountOwnPrefix", "Effect": "Allow", "Principal": "*", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id" }, "StringLike": { "s3:prefix": "*/${aws:PrincipalAccount}/*" } } }, { "Sid": "AllowCrossAccountGetConfigWithinOrganization", "Effect": "Allow", "Principal": "*", "Action": "s3:GetEncryptionConfiguration", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "organization-id" } } } ] } ``` ------ ## Política de bucket do Amazon S3 para uma única conta O bucket de diagnóstico é criado com a seguinte política de bucket padrão ao integrar uma conta única ao Systems Manager. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyHTTPRequests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "DenyNonSigV4Requests", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "s3:SignatureVersion": "AWS4-HMAC-SHA256" } } } ] } ``` ------