Como soluciono os erros de acesso negado 403 por “Falha na gravação do S3 para o bucket” do Amazon S3 ao criar a sincronização de dados de recursos para o inventário do Systems Manager?

Resolução

Há dois métodos para configurar a sincronização de dados de recursos para o inventário do AWS Systems Manager:

• Crie uma sincronização de dados de recursos para várias contas na mesma organização.
• Crie uma sincronização de dados de recursos para várias contas que não estão na mesma organização.

Para resolver a falha de gravação do S3 para erros de bucket, faça o seguinte:

Solução de problemas para várias contas na mesma organização

Certifique-se de que a política central de bucket do Amazon S3 tenha as permissões necessárias para permitir que várias contas da AWS enviem dados de inventário ao bucket.

Para criar uma sincronização de dados de recursos para várias contas na mesma organização, use a API CreateResourceDataSync e não se esqueça de especificar o parâmetro DestinationDataSharing. No AWS CloudTrail, você pode verificar a solicitação da API para o nome do evento CreateResourceDataSync para confirmar que o parâmetro DestinationDataSharing está incluído no evento.

Observação: você não pode criar uma sincronização de dados de recursos a partir do Console de Gerenciamento da AWS quando a sincronização de dados de recursos é para várias contas na mesma organização.

Veja a seguir um exemplo de comando da AWS Command Line Interface (AWS CLI) para CreateResourceDataSync:

aws ssm create-resource-data-sync --sync-name name --s3-destination "BucketName=DOC-EXAMPLE-BUCKET,Prefix=prefix-name,SyncFormat=JsonSerDe,Region=AWS Region ID,DestinationDataSharing={DestinationDataSharingType=Organization}"

Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de estar utilizando a versão mais recente da AWS CLI.

Solução de problemas para várias contas que não estão na mesma organização

Para criar uma sincronização de dados de recursos, confirme se a política de bucket do S3 do bucket S3 de destino permite as ações necessárias da conta de origem.

Por exemplo, você tem a Conta A e a Conta B enviando os dados de inventário para um bucket do S3 na Conta C.

A política de bucket do S3 na Conta C é semelhante ao exemplo de política a seguir:

{           
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "SSMBucketPermissionsCheck",  
            "Effect": "Allow",  
            "Principal": {  
                 "Service": "ssm.amazonaws.com"    
            },  
            "Action": "s3:GetBucketAcl",  
            "Resource": "arn:aws:s3:::S3_bucket_name"  
         },  
         {  
             "Sid": " SSMBucketDelivery",  
             "Effect": "Allow",  
             "Principal": {  
                 "Service": "ssm.amazonaws.com"  
             },  
             "Action": "s3:PutObject",  
             "Resource": [  
                 "arn:aws:s3:::S3_bucket_name/*/accountid=AWS_AccountA_ID/*",  
                 "arn:aws:s3:::S3_bucket_name/*/accountid=AWS_AccountB_ID/*"  
           ],  
           "Condition": {  
               "StringEquals": {  
                   "aws:SourceAccount": [  
                       "AWS_AccountA_ID",  
                       "AWS_AccountB_ID"  
                    ],  
                    "s3:x-amz-acl": "bucket-owner-full-control"  
                },  
                "ArnLike": {  
                   "aws:SourceArn": [  
                        "arn:aws:ssm:*:AWS_AccountA_ID:resource-data-sync/*",  
                        "arn:aws:ssm:*:AWS_AccountB_ID:resource-data-sync/*"  
                   ]  
                }  
           }  
        }  
   ]  
}  

Observação: para criptografar a sincronização de dados do recurso, certifique-se de atualizar a política de chaves do AWS Key Management Service (AWS KMS) e a política de bucket do S3. Para mais informações, consulte Passo a passo: Use a sincronização de dados de recursos para agregar dados de inventário.