Autorisations pour les rubriques Amazon SNS - Amazon DevOps Guru
Configuration des autorisations pour une rubrique Amazon SNS dans un autre compteAjouter une rubrique Amazon SNS depuis un autre compteMettre à jour votre politique Amazon SNS avec un canal de notification (recommandé)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour les rubriques Amazon SNS

Utilisez les informations de cette rubrique uniquement si vous souhaitez configurer Amazon DevOps Guru pour envoyer des notifications aux sujets Amazon SNS appartenant à un autre AWS compte.

Pour que DevOps Guru envoie des notifications à une rubrique Amazon SNS appartenant à un autre compte, vous devez associer à cette rubrique Amazon SNS une politique autorisant Guru à DevOps lui envoyer des notifications. Si vous configurez DevOps Guru pour envoyer des notifications aux sujets Amazon SNS détenus par le même compte que celui que vous utilisez pour DevOps Guru, DevOps Guru ajoute une politique aux sujets pour vous.

Après avoir joint une politique pour configurer les autorisations pour une rubrique Amazon SNS dans un autre compte, vous pouvez ajouter la rubrique Amazon SNS dans Guru. DevOps Vous pouvez également mettre à jour votre politique Amazon SNS à l'aide d'un canal de notification afin de la sécuriser davantage.

Note

DevOpsGuru ne prend actuellement en charge que l'accès entre comptes dans la même région.

Configuration des autorisations pour une rubrique Amazon SNS dans un autre compte

Ajouter des autorisations en tant que rôle IAM

Pour utiliser une rubrique Amazon SNS depuis un autre compte après vous être connecté avec un rôle IAM, vous devez associer une politique à la rubrique Amazon SNS que vous souhaitez utiliser. Pour associer une politique à une rubrique Amazon SNS depuis un autre compte lorsque vous utilisez un rôle IAM, vous devez disposer des autorisations suivantes pour cette ressource de compte dans le cadre de votre rôle IAM :

  • sns : CreateTopic

  • sns : GetTopicAttributes

  • sns : SetTopicAttributes

  • sns:Publish

Joignez la politique suivante à la rubrique Amazon SNS que vous souhaitez utiliser. Pour la Resource clé, il topic-owner-account-ids'agit de l'identifiant de compte du propriétaire du sujet, topic-sender-account-idde l'identifiant de compte de l'utilisateur qui a configuré DevOps Guru et devops-guru-roledu rôle IAM de l'utilisateur individuel concerné. Vous devez remplacer les valeurs appropriées par region-id (par exemple,us-west-2), et. my-topic-name 


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:role/devops-guru-role"]
             }
         }
     ]
 }

Ajouter des autorisations en tant qu'utilisateur IAM

Pour utiliser une rubrique Amazon SNS depuis un autre compte en tant qu'utilisateur IAM, associez la politique suivante à la rubrique Amazon SNS que vous souhaitez utiliser. Pour la Resource clé, il topic-owner-account-ids'agit de l'identifiant de compte du propriétaire du sujet, topic-sender-account-idde l'identifiant de compte de l'utilisateur qui a configuré DevOps Guru et devops-guru-user-namede l'utilisateur IAM individuel impliqué. Vous devez remplacer les valeurs appropriées par region-id (par exemple,us-west-2) et. my-topic-name

Note

Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d’identification temporaires plutôt que de créer des utilisateurs IAM ayant des informations d’identification à long terme tels que les clés d’accès. Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"]
             }
         }
     ]
 }

Ajouter une rubrique Amazon SNS depuis un autre compte

Après avoir configuré les autorisations pour un sujet Amazon SNS dans un autre compte, vous pouvez ajouter ce sujet Amazon SNS à DevOps vos paramètres de notification Guru. Vous pouvez ajouter la rubrique Amazon SNS à l'aide de la console AWS CLI ou de la console DevOps Guru.

  • Lorsque vous utilisez la console, vous devez sélectionner l'option Utiliser un ARN de rubrique SNS pour spécifier une rubrique existante afin d'utiliser une rubrique d'un autre compte.

  • Lorsque vous utilisez l' AWS CLI opération add-notification-channel, vous devez spécifier l'TopicArnintérieur de l'NotificationChannelConfigobjet.

Ajouter une rubrique Amazon SNS depuis un autre compte à l'aide de la console

  1. Ouvrez la console Amazon DevOps Guru à l'adresse https://console.aws.amazon.com/devops-guru/.

  2. Ouvrez le volet de navigation, puis sélectionnez Paramètres.

  3. Accédez à la section Notifications et choisissez Modifier.

  4. Choisissez Ajouter une rubrique SNS.

  5. Choisissez Utiliser un ARN de rubrique SNS pour spécifier une rubrique existante.

  6. Entrez l'ARN de la rubrique Amazon SNS que vous souhaitez utiliser. Vous devez déjà avoir configuré les autorisations pour cette rubrique en y attachant une politique.

  7. (Facultatif) Choisissez Configuration des notifications pour modifier les paramètres de fréquence des notifications.

  8. Choisissez Enregistrer.

Une fois que vous avez ajouté la rubrique Amazon SNS à vos paramètres de notification, DevOps Guru utilise cette rubrique pour vous informer des événements importants, tels que la création d'un nouvel aperçu.

Mettre à jour votre politique Amazon SNS avec un canal de notification (recommandé)

Après avoir ajouté un sujet, nous vous recommandons de renforcer la sécurité de votre politique en spécifiant des autorisations uniquement pour le canal de notification DevOps Guru qui contient votre sujet.

Mettez à jour votre politique thématique Amazon SNS avec un canal de notification (recommandé)

  1. Exécutez la AWS CLI commande list-notification-channels DevOps Guru dans le compte à partir duquel vous souhaitez envoyer des notifications.

    aws devops-guru list-notification-channels

  2. Dans la list-notification-channels réponse, notez l'ID de chaîne qui contient l'ARN de votre rubrique Amazon SNS. L'identifiant du canal est un guide.

    Par exemple, dans la réponse suivante, l'ID de canal pour le sujet avec l'ARN arn:aws:sns:region-id:111122223333:topic-name est e89be5f7-989d-4c4c-b1fe-e7145037e531

    {
  "Channels": [
    {
      "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
      "Config": {
      "Sns": {
          "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
        },
      "Filters": {
          "MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
          "Severities": ["HIGH", "MEDIUM"]
        }
      }
    }
  ]
}

  3. Accédez à la politique que vous avez créée dans un autre compte en utilisant l'identifiant du propriétaire du sujet dansConfiguration des autorisations pour une rubrique Amazon SNS dans un autre compte. Dans l'Conditionénoncé de la politique, ajoutez la ligne qui spécifie leSourceArn. L'ARN contient votre identifiant de région (par exemple,us-east-1), le numéro de AWS compte de l'expéditeur du sujet et l'identifiant de chaîne que vous avez noté.

    Votre Condition relevé mis à jour ressemble à ce qui suit.

    "Condition" : {
  "StringEquals" : {
    "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
    "AWS:SourceAccount": "111122223333"
   } 
 }

Si vous AddNotificationChannel ne parvenez pas à ajouter votre rubrique SNS, vérifiez que votre politique IAM dispose des autorisations suivantes.

{
     "Version": "2012-10-17",
     "Statement": [{
           "Sid": "DevOpsGuruTopicPermissions",
           "Effect": "Allow",
           "Action": [
                 "sns:CreateTopic",
                 "sns:GetTopicAttributes",
                 "sns:SetTopicAttributes",
                 "sns:Publish"
           ],
           "Resource": "arn:aws:sns:region-id:account-id:my-topic-name"
     }]
}