Configuration des rubriques Amazon SNS pour les notifications Change Manager - AWS Systems Manager
Tâche 1 : Créer une rubrique Amazon SNS et s'y abonnerTâche 2 : Mise à jour de la politique d'accès Amazon SNSTâche 3 : (facultatif) mettre à jour la politique d'accès AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des rubriques Amazon SNS pour les notifications Change Manager

Vous pouvez configurer Change Manager, une fonctionnalité de AWS Systems Manager, pour qu'il envoie des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) à propos d'événements liés à des demandes de modifications et des modèles de modifications. Effectuez les tâches suivantes pour recevoir des notifications pour les événements Change Manager auxquels vous ajoutez une rubrique.

Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner

Pour commencer, vous devez créer une rubrique Amazon SNS à laquelle vous vous abonnez. Pour plus d'informations, consultez Création d'une rubrique Amazon SNS et Abonnement à une rubrique Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Note

Pour recevoir des notifications, vous devez spécifier l'Amazon Resource Name (ARN) d'une rubrique Amazon SNS qui se trouve dans la même Région AWS et le même Compte AWS que le compte administrateur délégué.

Tâche 2 : Mise à jour de la politique d'accès Amazon SNS

Utilisez la procédure suivante pour mettre à jour la politique d'accès Amazon SNS afin que Systems Manager puisse publier les notifications Change Manager dans la rubrique Amazon SNS créée dans la tâche 1. Si cette tâche n'est pas effectuée ,Change Manager n'a pas l'autorisation d'envoyer des notifications à propos d'événements auxquels vous ajoutez la rubrique.

  1. Connectez-vous à AWS Management Console et ouvrez la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.

  2. Dans le panneau de navigation, sélectionnez Topics (Rubriques).

  3. Sélectionnez la rubrique que vous avez créée dans la tâche 1, puis sélectionnez Edit (Modifier).

  4. Développez la politique d'accès.

  5. Ajoutez et mettez à jour le bloc Sid suivant dans la politique existante, et remplacez chaque espace réservé aux entrées utilisateur par vos propres informations.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Saisissez ce bloc après le bloc Sid existant et remplacez region, account-id (ID de compte) et topic-name (nom de rubrique) par les valeurs appropriées pour la rubrique que vous avez créée.

  6. Sélectionnez Enregistrer les modifications.

Le système enverra maintenant des notifications à la rubrique Amazon SNS lorsque le type d'événement que vous ajoutez à la rubrique se produira.

Important

Si vous avez configuré la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS), vous devez terminer la tâche 3.

Tâche 3 : (facultatif) mettre à jour la politique d'accès AWS Key Management Service

Si vous avez activé le chiffrement côté serveur AWS Key Management Service (AWS KMS) pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès de la AWS KMS key que vous avez choisie lors de la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier les notifications d'approbation Change Manager dans la rubrique Amazon SNS créée dans la tâche 1.

  1. Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  3. Sélectionnez l'ID de la clé gérée par le client que vous avez choisie lors de la création de la rubrique.

  4. Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).

  5. Sélectionnez Edit (Modifier).

  6. Entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique existante. Remplacez chaque espace réservé à la saisie de l'utilisateur par vos propres informations.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Maintenant, entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique de ressources pour aider à prévenir le problème du député confus entre services.

    Ce bloc utilise les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount pour limiter les autorisations que Systems Manager accorde à un autre service pour la ressource.

    Remplacez chaque espace réservé à la saisie de l'utilisateur par vos propres informations.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Sélectionnez Save Changes (Enregistrer les modifications).