Notificaciones de conformidad de SNS en la cuenta de auditoría - AWS Control Tower
La política temática AWS Config de SNS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Notificaciones de conformidad de SNS en la cuenta de auditoría

Para recibir notificaciones de cambios de conformidad por correo electrónico enviadas a su cuenta de auditoría, suscríbase a este tema de Amazon SNS:

arn:aws:sns:AWSRegion:AuditAccount:aws-controltower-AggregateSecurityNotifications

Al suscribirse, sustituya la región de origen actual de la Torre de Control de AWS y la información de la cuenta de auditoría por el nombre del tema que se muestra. Puede suscribirse a los temas de SNS que reciben notificaciones sobre cada AWS región compatible en la que ejecute AWS Control Tower.

Temas y notificaciones de SNS que puede recibir

  • El aws-controltower-AllConfigNotifications tema:

    Recibe notificaciones AWS Config sobre el cumplimiento, el incumplimiento y los cambios. También recibe una notificación AWS CloudTrail sobre la entrega del archivo de registro.

  • El aws-controltower-SecurityNotifications tema:

    Existe uno de estos temas para cada AWS región compatible. Recibe notificaciones de conformidad, incumplimiento y cambios de AWS Config en esa región. Reenvía todas las notificaciones entrantes a aws-controltower-AggregateSecurityNotifications

  • El aws-controltower-AggregateSecurityNotifications tema:

    Este tema existe en todas las AWS regiones compatibles. Recibe notificaciones de cambios de conformidad de los temas específicos de la regiónaws-controltower-SecurityNotifications. Además, en la región de origen, también recibe notificaciones de desviación.

Otras consideraciones sobre los temas del SNS:

  • Todos estos temas existen y reciben notificaciones en la cuenta de auditoría.

  • De forma predeterminada, la dirección de correo electrónico de la cuenta de auditoría está suscrita al tema de aws-controltower-AggregateSecurityNotifications SNS.

  • Los temas de SNS en AWS Control Tower son extremadamente ruidosos, por diseño. Por ejemplo, AWS Config envía una notificación cada vez AWS Config que descubre un recurso nuevo.

  • Los administradores que deseen filtrar tipos específicos de notificaciones de un tema de SNS pueden crear una AWS Lambda función y suscribirla al tema de SNS. Como alternativa, puedes configurar una EventBridge regla para filtrar las notificaciones, tal y como se describe en este artículo de soporte, ¿Cómo puedo recibir una notificación cuando un AWS recurso no es compatible con AWS Config?

  • AWSConfig notifications contiene un objeto JSON.

  • Las notificaciones de desviación de AWS Control Tower aparecen en texto sin formato.

La política temática AWS Config de SNS

La política temática de AWS Config SNS contiene la clave de aws:SourceOrgID condición. La política se muestra en el siguiente ejemplo.

 SNSAllConfigurationTopicPolicy:
    Type: AWS::SNS::TopicPolicy
    Properties:
      Topics:
        - !Ref SNSAllConfigurationTopic
      PolicyDocument:
        Statement:
          - Sid: AWSSNSPolicy
            Action:
              - sns:Publish
            Effect: Allow
            Resource: !Ref SNSAllConfigurationTopic
            Principal:
              Service:
                - cloudtrail.amazonaws.com
                - config.amazonaws.com            
            Condition:
              StringEquals:
                aws:SourceOrgID: !Ref OrganizationId