Konfigurieren von Amazon SNS-Themen für Change Manager-Benachrichtigungen

Sie können Change Manager, eine Funktion von AWS Systems Manager, konfigurieren, wenn Sie Benachrichtigungen zu einem Amazon Simple Notification Service (Amazon SNS)-Thema für Ereignisse im Zusammenhang mit Änderungsanforderungen und Änderungsvorlagen senden möchten. Führen Sie die folgenden Aufgaben aus, um Benachrichtigungen für die Change Manager-Ereignisse zu erhalten, denen Sie ein Thema hinzufügen.

Aufgabe 1: Erstellen und Abonnieren eines Amazon SNS-Themas

Zunächst müssen Sie ein Amazon SNS-Thema erstellen und abonnieren. Weitere Informationen finden Sie unter Erstellen eines Amazon-SNS-Themas und Abonnieren eines Amazon-SNS-Themas im Entwicklerhandbuch zu Amazon Simple Notification Service.

Anmerkung

Um Benachrichtigungen zu erhalten, müssen Sie den Amazon-Ressourcennamen (ARN) eines Amazon SNS-Themas angeben, das sich in derselben AWS-Region und demselben AWS-Konto wie das delegierte Administratorkonto befindet.

Aufgabe 2: Aktualisieren der Amazon SNS-Zugriffsrichtlinie

Gehen Sie wie folgt vor, um die Amazon SNS-Zugriffsrichtlinie zu aktualisieren, damit Systems Manager Change Manager-Benachrichtigungen für das Amazon SNS-Thema veröffentlichen kann, das Sie in Aufgabe 1 erstellt haben. Ohne Fertigstellung dieser Aufgabe hat Change Manager keine Berechtigung zum Senden von Benachrichtigungen für die Ereignisse, für die Sie das Thema hinzufügen.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-SNS-Konsole unter https://console.aws.amazon.com/sns/v3/home.

2. Wählen Sie im Navigationsbereich Topics (Themen) aus.

3. Wählen Sie das Thema aus, das Sie in Aufgabe 1 erstellt haben und klicken Sie dann auf Edit (Bearbeiten).

4. Erweitern Sie Access policy (Zugriffsrichtlinie).

5. Aktualisieren und fügen Sie den folgenden Sid-Block der vorhandenen Richtlinie hinzu und ersetzen Sie jeden Platzhalter für Benutzereingabe mit Ihren eigenen Informationen.

   {
       "Sid": "Allow Change Manager to publish to this topic",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": "sns:Publish",
       "Resource": "arn:aws:sns:region:account-id:topic-name",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }

   Geben Sie diesen Block nach dem vorhandenen Sid-Block ein und ersetzen Sie region, account-id und topic-name durch die geeigneten Werte für das von Ihnen erstellte Thema.

6. Wählen Sie Save Changes.

Das System sendet jetzt Benachrichtigungen an das Amazon SNS-Thema, wenn der Ereignistyp auftritt, den Sie dem Thema hinzufügen.

Wichtig

Wenn Sie das Amazon SNS-Thema mit einem serverseitigen AWS Key Management Service (AWS KMS) Verschlüsselungsschlüssel konfiguriert haben, müssen Sie Aufgabe 3 ausführen.

Aufgabe 3: (Optional) Aktualisieren der AWS Key Management Service-Zugriffsrichtlinie

Wenn Sie die serverseitige AWS Key Management Service (AWS KMS)-Verschlüsselung für Ihr Amazon SNS-Thema aktiviert haben, müssen Sie auch die Zugriffsrichtlinie des AWS KMS key aktualisieren, den Sie bei der Konfiguration des Themas ausgewählt haben. Gehen Sie wie folgt vor, um die Zugriffsrichtlinie zu aktualisieren, damit Systems Manager Change Manager-Genehmigungsbenachrichtigungen für das Amazon SNS-Thema veröffentlichen kann, das Sie in Aufgabe 1 erstellt haben.

1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

2. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

3. Wählen Sie die ID des Kundenmasterschlüssels aus, den Sie bei der Erstellung des Themas ausgewählt haben.

4. Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

5. Wählen Sie Edit (Bearbeiten) aus.

6. Geben Sie den folgenden Sid-Block nach einem der vorhandenen Sid-Blöcke in die vorhandene Richtlinie ein. Ersetzen Sie jedes Platzhalter für Benutzereingaben durch Ihre eigenen Informationen.

   {
       "Sid": "Allow Change Manager to decrypt the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "arn:aws:kms:region:account-id:key/key-id",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }

7. Geben Sie nun den folgenden Sid-Block nach einem der vorhandenen Sid-Blöcke in die Ressourcenrichtlinie ein, um zu verhindern, dass das Problem des dienstübergreifenden verwirrten Stellvertreters auftritt.

   Dieser Block verwendet die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount, um die Berechtigungen einzuschränken, die Systems Manager der Ressource einem anderen Dienst erteilt.

   Ersetzen Sie jedes Platzhalter für Benutzereingaben durch Ihre eigenen Informationen.

   {
     "Version": "2008-10-17",
     "Statement": [
       {
         "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": [
           "sns:Publish"
         ],
         "Resource": "arn:aws:sns:region:account-id:topic-name",
         "Condition": {
           "ArnLike": {
             "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
           },
           "StringEquals": {
             "aws:SourceAccount": "account-id"
           }
         }
       }
     ]
   }

8. Wählen Sie Save Changes.