Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para el tema de Amazon SNS
En este tema se describe cómo configurar AWS Config para entregar temas de Amazon SNS que pertenecen a una cuenta diferente. AWS Config debe tener los permisos necesarios para enviar notificaciones a un tema de Amazon SNS. Para la configuración con la misma cuenta, cuando la AWS Config consola cree un tema de Amazon SNS o usted elige un tema de Amazon SNS de su propia cuenta AWS Config , asegúrese de que el tema de Amazon SNS incluya los permisos necesarios y siga las prácticas recomendadas de seguridad.
nota
AWS Config actualmente solo admite el acceso desde la misma región y entre cuentas. Los temas de SNS utilizados para los documentos de corrección AWS Systems Manager (SSM) o para el canal de entrega de grabadoras no pueden estar entre regiones.
Contenido
Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles de IAM
Puede asociar una política de permisos al tema de Amazon SNS propiedad de una cuenta diferente. Si desea utilizar un tema de Amazon SNS de otra cuenta, asegúrese de asociar la siguiente política a un tema de Amazon SNS existente.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Para la clave de Resource, account-id es el número de cuenta de AWS
del propietario del tema. Para account-id1, account-id2 y account-id3, utilice las cuentas de AWS que enviarán datos a un tema de Amazon SNS. Puede sustituir los valores adecuados de region y myTopic.
Cuando AWS Config envía una notificación a un tema de Amazon SNS, primero intenta usar el rol de IAM, pero este intento falla si el rol o la AWS cuenta no tienen permiso para publicar en el tema. En este caso, vuelve AWS Config a enviar la notificación, esta vez como un nombre principal de AWS Config servicio (SPN). Para que la entrega se realice correctamente, la política de acceso del tema debe conceder a sns:Publish acceso al nombre de la entidad principal de config.amazonaws.com. Debe asociar una política de acceso, que se describe en la siguiente sección, al tema de Amazon SNS para conceder a AWS Config acceso al tema de Amazon SNS si el rol de IAM no tiene permiso para publicar en el tema.
Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles vinculados a servicios
El rol AWS Config vinculado al servicio no tiene permiso para acceder al tema de Amazon SNS. Por lo tanto, si lo configuras AWS Config mediante un rol vinculado a un servicio (SLR), en su lugar AWS Config enviará la información como responsable del servicio. AWS Config Deberá adjuntar una política de acceso, que se menciona a continuación, al tema Amazon SNS para permitir el AWS Config acceso y enviar información al tema Amazon SNS.
Para configurar en la misma cuenta, si el tema de Amazon SNS y el SLR están en la misma cuenta y la política de Amazon SNS concede el permiso sns:Publish al SLR, no será necesario utilizar el SPN de AWS Config
. La siguiente política de permisos y las prácticas recomendadas de seguridad se refieren a la configuración en varias cuentas.
Conceder AWS Config acceso al tema Amazon SNS.
Esta política permite AWS Config enviar una notificación a un tema de Amazon SNS. Para conceder AWS Config acceso al tema de Amazon SNS desde otra cuenta, tendrás que adjuntar la siguiente política de permisos.
nota
Como práctica recomendada de seguridad, se recomienda encarecidamente asegurarse de que solo AWS Config se accede a los recursos en nombre de los usuarios esperados restringiendo el acceso a las cuentas que figuran en esa AWS:SourceAccount condición.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Para la clave de Resource, account-id es el número de cuenta de AWS
del propietario del tema. Para account-id1, account-id2 y account-id3, utilice las cuentas de AWS que enviarán datos a un tema de Amazon SNS. Puede sustituir los valores adecuados de region y myTopic.
Puede utilizar la AWS:SourceAccount condición de la política de temas anterior de Amazon SNS para restringir el nombre principal del AWS Config servicio (SPN) para que solo interactúe con el tema de Amazon SNS cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe el nombre principal del AWS Config
servicio (SPN) a interactuar únicamente con el bucket de S3 cuando se realizan operaciones en nombre de canales de entrega específicos. AWS Config Si se utiliza el nombre principal del AWS Config servicio (SPN), la AWS:SourceArn propiedad siempre se establece arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del canal de entrega y sourceAccountID en el identificador de la cuenta que contiene el canal de entrega. Para obtener más información sobre los canales AWS Config de entrega, consulte Administración del canal de entrega. Por ejemplo, añada la siguiente condición para restringir que el nombre principal del AWS Config servicio (SPN) interactúe con su bucket de S3 únicamente en nombre de un canal de entrega de la us-east-1 región de la cuenta123456789012:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Solución de problemas del tema de Amazon SNS
AWS Config debe tener permisos para enviar notificaciones a un tema de Amazon SNS. Si un tema de Amazon SNS no puede recibir notificaciones, compruebe que la función de IAM que AWS Config estaba asumiendo tiene los permisos necesarios. sns:Publish
