Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politique relative aux rubriques Amazon SNS pour CloudTrail
Pour envoyer des notifications à une rubrique SNS, vous CloudTrail devez disposer des autorisations requises. CloudTrailattache automatiquement les autorisations requises au sujet lorsque vous créez un sujet Amazon SNS dans le cadre de la création ou de la mise à jour d'un journal dans la CloudTrail console.
Important
Comme bonne pratique de sécurité, pour restreindre l'accès à votre rubrique SNS, nous vous recommandons fortement, après avoir créé ou mis à jour un journal d’activité pour envoyer des notifications SNS, de modifier manuellement la politique IAM attachée à la rubrique SNS pour ajouter des clés de condition. Pour plus d’informations, consultez Bonnes pratiques de sécurité pour la politique de rubrique SNS dans cette rubrique.
CloudTrail ajoute pour vous la déclaration suivante à la politique avec les champs suivants :
-
Les SID autorisés.
-
Le nom principal du service pour CloudTrail.
-
La rubrique SNS, avec la région, l'ID de compte et le nom de la rubrique.
La politique suivante permet d' CloudTrail envoyer des notifications concernant la livraison de fichiers journaux depuis les régions prises en charge. Pour plus d’informations, consultez CloudTrail Régions prises en charge. Il s'agit de la politique par défaut attachée à une politique de rubrique SNS nouvelle ou existante lorsque vous créez ou mettez à jour un journal d’activité et que vous choisissez d'activer les notifications SNS.
Politique de rubrique SNS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName" } ] }
Pour utiliser une rubrique Amazon SNS AWS KMS chiffrée pour envoyer des notifications, vous devez également activer la compatibilité entre la source de l'événement CloudTrail () et la rubrique cryptée en ajoutant l'instruction suivante à la politique du. AWS KMS key
Politique de clé KMS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" } ] }
Pour plus d'informations, voir Activer la compatibilité entre les sources d'événements provenant AWS des services et des rubriques cryptées.
Table des matières
Bonnes pratiques de sécurité pour la politique de rubrique SNS
Par défaut, la déclaration de politique IAM CloudTrail attachée à votre rubrique Amazon SNS autorise CloudTrail le principal du service à publier sur une rubrique SNS, identifiée par un ARN. Pour empêcher un attaquant d'accéder à votre rubrique SNS et d'envoyer des notifications au nom des destinataires de la CloudTrail rubrique, modifiez manuellement votre politique de rubrique CloudTrail SNS pour ajouter une clé de aws:SourceArn condition à la déclaration de politique jointe par. CloudTrail La valeur de cette clé est l'ARN du journal d’activité, ou un tableau d'ARN de piste utilisant la rubrique SNS. Comme elle inclut à la fois l'ID du journal d’activité spécifique et l'ID du compte propriétaire de la piste, elle limite l'accès à la rubrique SNS uniquement aux comptes qui ont l'autorisation de gérer la piste. Avant d'ajouter des clés de condition à votre politique de rubrique SNS, obtenez le nom de la rubrique SNS dans les paramètres de votre journal dans la CloudTrail console.
La clé de condition aws:SourceAccount est également prise en charge, mais n'est pas recommandée.
Pour ajouter la clé de condition aws:SourceArn de votre politique de rubrique SNS
Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home
. -
Dans le panneau de navigation, sélectionnez Topics (Rubriques).
-
Choisissez la rubrique SNS qui s'affiche dans vos paramètres de piste, puis choisissezModifier.
-
Développez la politique d'accès.
-
Dans Stratégie d'accès Éditeur JSON, recherchez un bloc semblable à l'exemple suivant.
{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496" } -
Ajouter un nouveau bloc pour une condition,
aws:SourceArnComme illustré dans l'exemple suivant. Pouraws:SourceArnest l'ARN de la piste au sujet de laquelle vous envoyez des notifications à SNS.{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail/Trail3" } } } -
Lorsque vous avez terminé de modifier la politique de la rubrique SNS, choisissez Save changes (Enregistrer les modifications).
Pour ajouter la clé de condition aws:SourceAccount de votre politique de rubrique SNS
Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home
. -
Dans le panneau de navigation, sélectionnez Topics (Rubriques).
-
Choisissez la rubrique SNS qui s'affiche dans vos paramètres de piste, puis choisissezModifier.
-
Développez la politique d'accès.
-
Dans Stratégie d'accès Éditeur JSON, recherchez un bloc semblable à l'exemple suivant.
{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496" } -
Ajouter un nouveau bloc pour une condition,
aws:SourceAccountComme illustré dans l'exemple suivant. La valeur deaws:SourceAccountest l'identifiant du compte propriétaire du CloudTrail parcours. Cet exemple limite l'accès à la rubrique SNS aux seuls utilisateurs qui peuvent se connecter au AWS compte 123456789012.{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" } } } -
Lorsque vous avez terminé les modifications, choisissez Save changes (Enregistrer les modifications).
Spécification d'une rubrique existante pour l'envoi des notifications
Vous pouvez ajouter manuellement les autorisations pour un sujet Amazon SNS à votre politique de sujet dans la console Amazon SNS, puis spécifier le sujet dans la console. CloudTrail
Pour mettre à jour manuellement une politique de rubrique SNS
Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home
. -
Choisissez Rubriques, puis choisissez la rubrique.
-
Choisissez Modifier, puis faites défiler l'écran vers le bas jusqu'à Politique d'accès.
-
Ajoutez le relevé de SNS topic policy avec les valeurs appropriées pour la région, l'ID de compte et le nom du sujet.
-
Si votre sujet est un sujet crypté, vous devez autoriser
kms:GenerateDataKey*et CloudTrail obtenir leskms:Decryptautorisations nécessaires. Pour plus d’informations, consultez Encrypted SNS topic KMS key policy. -
Choisissez Enregistrer les modifications.
-
Retournez à la CloudTrail console et spécifiez le sujet du parcours.
Résolution des erreurs de politique de rubrique SNS
Les sections suivantes décrivent la résolution des problèmes liés à la politique de rubrique SNS.
Scénarios
CloudTrail n'envoie pas de notifications pour une région
Lorsque vous créez un nouveau sujet dans le cadre de la création ou de la mise à jour d'un parcours CloudTrail , associez les autorisations requises à votre sujet. La politique thématique utilise le nom principal du service"cloudtrail.amazonaws.com", qui permet d' CloudTrail envoyer des notifications pour toutes les régions.
S'il ne s' CloudTrail agit pas d'envoyer de notifications pour une région, il est possible que votre sujet ait une ancienne politique qui spécifie les identifiants de CloudTrail compte pour chaque région. Cette politique CloudTrail autorise l'envoi de notifications uniquement pour les régions spécifiées.
La politique thématique suivante permet CloudTrail d'envoyer des notifications uniquement pour les neuf régions spécifiées :
Exemple politique de rubrique avec ID de compte
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::903692715234:root",
"arn:aws:iam::035351147821:root",
"arn:aws:iam::859597730677:root",
"arn:aws:iam::814480443879:root",
"arn:aws:iam::216624486486:root",
"arn:aws:iam::086441151436:root",
"arn:aws:iam::388731089494:root",
"arn:aws:iam::284668455005:root",
"arn:aws:iam::113285607260:root"
]},
"Action": "SNS:Publish",
"Resource": "aws:arn:sns:us-east-1:123456789012:myTopic"
}]
}Cette politique utilise une autorisation basée sur les identifiants de CloudTrail compte individuels. Pour fournir des journaux pour une nouvelle région, vous devez mettre à jour manuellement la politique afin d'inclure l'identifiant de CloudTrail compte de cette région. Par exemple, en raison de l' CloudTrail ajout de la prise en charge de la région USA Est (Ohio), vous devez mettre à jour la politique pour ajouter l'ID de compte ARN pour cette région :"arn:aws:iam::475085895292:root".
Il est recommandé de mettre à jour la politique pour utiliser une autorisation auprès du directeur du CloudTrail service. Pour cela, remplacez les ARN de l’ID de compte par le nom principal du service : "cloudtrail.amazonaws.com".
Cela donne CloudTrail l'autorisation d'envoyer des notifications pour les régions actuelles et nouvelles. Voici une version mise à jour de la politique précédente :
Exemple politique de rubrique avec le nom principal du service
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
}]
}Vérifiez que la politique comporte les valeurs appropriées :
-
Dans le champ
Resource, spécifiez le numéro de compte du propriétaire de la rubrique. Pour les rubriques que vous créez, spécifiez votre numéro de compte. -
Spécifiez les valeurs appropriées pour la région et le nom de rubrique SNS.
CloudTrail n'envoie pas de notifications pour le compte d'un membre d'une organisation
Lorsqu'un compte membre associé à un historique d' AWS Organizations organisation n'envoie pas de notifications Amazon SNS, il se peut que la configuration de la politique relative aux rubriques SNS pose problème. CloudTrail crée des traces d'organisation dans les comptes des membres même si la validation d'une ressource échoue. Par exemple, la rubrique SNS du journal de l'organisation n'inclut pas tous les identifiants de compte des membres. Si la politique des rubriques SNS est incorrecte, un échec d'autorisation se produit.
Pour vérifier si la politique des rubriques SNS d'un parcours présente un échec d'autorisation, procédez comme suit :
-
Depuis la CloudTrail console, consultez la page de détails du parcours. En cas d'échec de l'autorisation, la page de détails inclut un avertissement
SNS authorization failedet indique qu'il faut corriger la politique des rubriques SNS. -
À partir du AWS CLI, exécutez la get-trail-statuscommande. En cas d'échec de l'autorisation, la sortie de commande inclut le
LastNotificationErrorchamp avec une valeur deAuthorizationError.
Ressources supplémentaires
Pour plus d'informations sur les rubriques SNS et l'abonnement à celles-ci, consultez le Guide du développeur Amazon Simple Notification Service.
