Autorisations pour les rubriques Amazon SNS - Amazon DevOps Guru

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour les rubriques Amazon SNS

Utilisez les informations de cette rubrique uniquement si vous souhaitez configurer Amazon DevOpsGuru pour diffuser des sujets Amazon SNS gérés par un compte différent du vôtre.

Pour DevOpsGuru : pour proposer une rubrique Amazon SNS appartenant à un autre compte, vous devez y joindre une politique qui accorde DevOpsAutorisations de Guru pour lui envoyer des notifications. Si vous configurezDevOpsGuru pour diffuser les rubriques Amazon SNS appartenant à votre compte, puis DevOpsGuru ajoute une politique aux sujets pour vous.

Note

DevOpsGuru ne prend actuellement en charge que l'accès entre comptes dans la même région.

Pour utiliser une rubrique Amazon SNS depuis un autre compte, joignez la politique suivante à la rubrique Amazon SNS existante. PourResourceclé,topic-owner-account-idest l'ID de compte du propriétaire du sujet,topic-sender-account-idest l'ID de compte de l'utilisateur qui a configuré DevOpsAmazondevops-guru-user-nameest l'utilisateur IAM individuel. Vous devez remplacer les valeurs appropriées parID de la région(par exemple,us-west-2) etmy-topic-name.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "EnableDevOpsGuruServicePrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Condition": { "StringEquals": { "AWS:SourceAccount": "topic-sender-account-id" } } }, { "Sid": "EnableAccountPrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"] } } ] }

Après avoir ajouté un sujet, nous vous recommandons de renforcer la sécurité de votre politique en spécifiant des autorisations uniquement pour DevOpsCanal de notification Guru qui contient votre sujet.

Mettez à jour votre politique thématique Amazon SNS avec un canal de notification (recommandé)

  1. Exécuterlist-notification-channels DevOpsGuruAWS CLIcommande.

    aws devops-guru list-notification-channels
  2. Dans lelist-notification-channelsréponse, notez l'identifiant de chaîne qui contient l'ARN de votre rubrique Amazon SNS. L'identifiant du canal est un guide.

    Par exemple, dans la réponse suivante, l'identifiant du canal pour la rubrique avec l'ARNarn:aws:sns:region-id:111122223333:topic-nameeste89be5f7-989d-4c4c-b1fe-e7145037e531

    { "Channels": [ { "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531", "Config": { "Sns": { "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name" } } } ] }
  3. Dans leConditionénoncé de votre politique, ajoutez la ligne qui spécifieSourceArn. L'ARN contient votre identifiant de région (par exemple,us-east-1), leAWSle numéro de compte de l'expéditeur du sujet et l'identifiant de la chaîne que vous avez noté.

    Votre mise à jourConditionLa déclaration ressemble à ce qui suit.

    "Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531", "AWS:SourceAccount": "111122223333" } }

SiAddNotificationChanneln'arrive pas à ajouter votre sujet SNS. Vérifiez que votre stratégie IAM dispose des autorisations suivantes.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DevOpsGuruTopicPermissions", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:Publish" ], "Resource": "arn:aws:sns:region-id:account-id:my-topic-name" }] }