Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations relatives à la rubrique Amazon SNS
Cette rubrique décrit comment configurer pour AWS Config diffuser des rubriques Amazon SNS détenues par un autre compte. AWS Config doit disposer des autorisations requises pour envoyer des notifications à une rubrique Amazon SNS.
Lorsque la AWS Config console crée une nouvelle rubrique Amazon SNS pour vous, elle AWS Config accorde les autorisations nécessaires. Si vous choisissez une rubrique Amazon SNS existante, assurez-vous que cette rubrique inclut les autorisations requises et respecte les meilleures pratiques en matière de sécurité.
Les rubriques Amazon SNS interrégionales ne sont pas prises en charge
AWS Config ne prend actuellement en charge que l'accès au sein d'un même compte Région AWS et entre plusieurs comptes.
Table des matières
Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles IAM
Vous pouvez attacher une politique d'autorisation à la rubrique Amazon SNS appartenant à un autre compte. Si vous voulez utiliser une rubrique Amazon SNS d'un autre compte, veillez à attacher la politique suivante à une rubrique Amazon SNS existante.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
La Resource clé account-id est le numéro de AWS
compte du propriétaire du sujet. Pouraccount-id1, et account-id2account-id3, utilisez le Comptes AWS qui enverra des données à une rubrique Amazon SNS. Vous pouvez remplacer les valeurs appropriées par region etmyTopic.
Lorsque AWS Config vous envoyez une notification à un sujet Amazon SNS, il tente d'abord d'utiliser le rôle IAM, mais cette tentative échoue si le rôle n'est Compte AWS pas autorisé à publier sur le sujet. Dans ce cas, AWS Config envoie à nouveau la notification, cette fois sous la forme d'un nom principal de AWS Config service (SPN). Pour que la publication réussisse, la stratégie d’accès pour la rubrique doit autoriser l'accès sns:Publish au nom du principal config.amazonaws.com. Vous devez attacher une stratégie d’accès, décrite dans la section suivante, à la rubrique Amazon SNS pour accorder à AWS Config un accès à la rubrique Amazon SNS si le rôle IAM n'est pas autorisé à publier sur la rubrique.
Autorisations requises pour la rubrique Amazon SNS lors de l'utilisation de rôles liés à un service
Le rôle AWS Config lié au service n'est pas autorisé à accéder à la rubrique Amazon SNS. Ainsi, si vous configurez AWS Config en utilisant un rôle lié à un service (SLR), il AWS Config enverra des informations en tant que principal de AWS Config service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la rubrique Amazon SNS pour autoriser l' AWS Config accès à l'envoi d'informations à la rubrique Amazon SNS.
Pour la configuration du même compte, lorsque la rubrique Amazon SNS et le SLR appartiennent au même compte et que la politique Amazon SNS accorde au SLR l'autorisation « sns:Publish », vous n'avez pas besoin d'utiliser le SPN AWS Config
. La politique d'autorisation ci-dessous et les recommandations relatives aux bonnes pratiques de sécurité concernent la configuration entre comptes.
Octroi de l' AWS Config accès à la rubrique Amazon SNS
Cette politique permet AWS Config d'envoyer une notification à une rubrique Amazon SNS. Pour autoriser l' AWS Config accès à la rubrique Amazon SNS depuis un autre compte, vous devez joindre la politique d'autorisation suivante.
Note
En tant que bonne pratique en matière de sécurité, il est fortement recommandé de s'assurer que l'accès aux ressources AWS Config est réservé aux utilisateurs attendus en limitant l'accès aux comptes répertoriés dans les AWS:SourceAccount conditions requises.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
La Resource clé account-id est le numéro de AWS
compte du propriétaire du sujet. Pouraccount-id1, et account-id2account-id3, utilisez le Comptes AWS qui enverra des données à une rubrique Amazon SNS. Vous pouvez remplacer les valeurs appropriées par region etmyTopic.
Vous pouvez utiliser la AWS:SourceAccount condition figurant dans la précédente politique relative aux rubriques Amazon SNS pour empêcher le nom principal du AWS Config service (SPN) d'interagir uniquement avec le sujet Amazon SNS lorsque vous effectuez des opérations pour le compte de comptes spécifiques.
AWS Config prend également en charge la AWS:SourceArn condition qui restreint le nom principal du AWS Config
service (SPN) à interagir uniquement avec le compartiment S3 lors de l'exécution d'opérations pour le compte de canaux de AWS Config distribution spécifiques. Lorsque vous utilisez le nom principal du AWS Config service (SPN), la AWS:SourceArn propriété sera toujours définie comme sourceRegion étant la région du canal de distribution et sourceAccountID l'ID du compte contenant le canal de distribution. arn:aws:config:sourceRegion:sourceAccountID:* Pour plus d'informations sur les canaux AWS Config de diffusion, consultez la section Gestion du canal de diffusion. Par exemple, ajoutez la condition suivante pour empêcher le nom principal du AWS Config service (SPN) d'interagir avec votre compartiment S3 uniquement pour le compte d'un canal de diffusion de la us-east-1 région dans le compte 123456789012 : "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
Résolution des problèmes liés à la rubrique Amazon SNS
AWS Config doit être autorisé à envoyer des notifications à une rubrique Amazon SNS. Si une rubrique Amazon SNS ne peut pas recevoir de notifications, vérifiez que le rôle IAM qu' AWS Config elle assumait dispose des autorisations requises. sns:Publish
