Pemantauan perubahan status Systems Manager menggunakan notifikasi Amazon SNS

catatan

Topik FIFO Layanan Pemberitahuan Sederhana Amazon tidak didukung.

Anda dapat mengonfigurasi Amazon Simple Notification Service (Amazon SNS) untuk mengirimkan notifikasi tentang status perintah yang Anda kirimkan menggunakan Run Command atauMaintenance Windows, yang merupakan kemampuan. AWS Systems Manager Amazon SNS mengoordinasikan dan mengelola pemberitahuan pengiriman ke pelanggan atau titik akhir yang berlangganan. Anda dapat menerima pemberitahuan setiap kali perintah berubah ke keadaan baru atau keadaan tertentu, seperti Gagal atau Timed Out. Dalam kasus di mana Anda mengirimkan perintah ke beberapa node, Anda dapat menerima notifikasi untuk setiap salinan perintah yang dikirimkan ke node tertentu. Setiap salinan disebut permintaan.

Amazon SNS dapat mengirimkan notifikasi sebagai HTTP atau HTTPS POST, email (SMTP, baik teks biasa maupun dalam format JSON), atau sebagai pesan yang diunggah ke antrean Amazon Simple Queue Service (Amazon SQS). Untuk informasi lebih lanjut, lihat Apa itu Amazon SNS di Panduan Developer Amazon Simple Notification Service. Untuk contoh struktur data JSON yang disertakan di notifikasi Amazon SNS yang disediakan oleh Run Command danMaintenance Windows, lihat. Contoh notifikasi Amazon SNS untuk AWS Systems Manager

Mengonfigurasi notifikasi Amazon SNS untuk AWS Systems Manager

Run Commanddan Maintenance Windows tugas yang terdaftar ke jendela pemeliharaan dapat mengirimkan notifikasi Amazon SNS untuk tugas perintah yang memasukkan status berikut:

• Dalam Progres

• Sukses

• Gagal

• Waktu Habis

• Dibatalkan

Untuk informasi tentang kondisi yang menyebabkan perintah untuk memasukkan salah satu status ini, lihat Memahami status perintah.

catatan

Perintah yang dikirimkan menggunakan Run Command juga melaporkan status Pembatalan dan Tertunda. Status ini tidak didapatkan oleh notifikasi Amazon SNS.

Notifikasi Amazon SNS ringkasan perintah

Jika Anda mengonfigurasi Run Command atau Run Command tugas di jendela pemeliharaan untuk notifikasi Amazon SNS, Amazon SNS mengirimkan pesan ringkasan yang menyertakan informasi berikut.

Bidang	Tipe	Deskripsi
eventTime	String	Waktu acara tersebut dimulai. Stempel waktu penting karena Amazon SNS tidak menjamin urutan pengiriman pesan. Misalnya: 2016-04-26T13:15:30Z
documentName	String	Nama dokumen SSM yang digunakan untuk menjalankan perintah ini.
commandId	String	ID yang dihasilkan oleh Run Command setelah perintah dikirimkan.
expiresAfter	Tanggal	Jika waktu ini tercapai dan perintah belum mulai mengeksekusi, ia tidak akan dijalankan.
Keluaran3 BucketName	String	Bucket Amazon Simple Storage Service (Amazon S3) tempat tanggapan terhadap eksekusi perintah harus disimpan.
Keluaran3 KeyPrefix	String	Jalur direktori Amazon S3 di dalam bucket tempat tanggapan terhadap eksekusi perintah harus disimpan.
requestedDateTime	String	Waktu dan tanggal saat permintaan dikirimkan ke node tertentu ini.
instanceIds	StringList	Node yang ditargetkan oleh perintah. catatan ID instans hanya disertakan di pesan ringkasan jika Run Command tugas menargetkan ID instans secara langsung. ID instans tidak disertakan di pesan ringkasan jika Run Command tugas diterbitkan menggunakan penargetan berbasis tanda.
status	String	Status perintah untuk perintah.

Notifikasi Amazon SNS berbasis permintaan

Jika Anda mengirimkan perintah ke beberapa node, Amazon SNS dapat mengirimkan pesan tentang setiap salinan atau permintaan perintah. Pesan ini mencakup informasi berikut.

Bidang	Tipe	Deskripsi
eventTime	String	Waktu acara tersebut dimulai. Stempel waktu penting karena Amazon SNS tidak menjamin urutan pengiriman pesan. Misalnya: 2016-04-26T13:15:30Z
documentName	String	Nama dokumen Systems Manager (dokumen SSM) yang digunakan untuk menjalankan perintah ini.
requestedDateTime	String	Waktu dan tanggal saat permintaan dikirimkan ke node tertentu ini.
commandId	String	ID yang dihasilkan oleh Run Command setelah perintah dikirimkan.
instanceId	String	Instans yang ditargetkan oleh perintah.
status	String	Status perintah untuk permintaan ini.

Untuk menyiapkan notifikasi Amazon SNS saat perintah mengubah status, selesaikan tugas berikut.

catatan

Jika Anda tidak mengonfigurasi notifikasi Amazon SNS untuk jendela pemeliharaan, maka Anda dapat melompati Tugas 5 nantinya di topik ini.

Tugas 1: Membuat dan berlangganan topik Amazon SNS

Topik Amazon SNS adalah saluran komunikasi yang Run Command dan Run Command tugas yang terdaftar ke jendela pemeliharaan digunakan untuk mengirimkan notifikasi tentang status perintah Anda. Amazon SNS mendukung berbagai protokol komunikasi, termasuk HTTP/S, email, dan lainnya Layanan AWS seperti Amazon Simple Queue Service (Amazon SQS). Untuk memulai, kami merekomendasikan agar Anda memulai dengan protokol email. Untuk informasi tentang cara membuat topik, lihat Membuat topik Amazon SNS di Panduan Developer Amazon Simple Notification Service.

catatan

Setelah Anda membuat topik, salin atau catat ARN Topik. Anda menentukan ARN ini saat mengirimkan perintah yang dikonfigurasi untuk menampilkan notifikasi status.

Setelah Anda membuat topik, berlanggananlah dengan menentukan Titik akhir. Jika Anda memilih protokol Email, titik akhirnya adalah alamat email tempat Anda ingin menerima notifikasi. Untuk informasi selengkapnya tentang cara berlangganan topik, lihat Berlangganan topik Amazon SNS di Panduan Developer Amazon Simple Notification Service.

Amazon SNS mengirimkan email konfirmasi dari Notifikasi AWS ke alamat email yang Anda tentukan. Buka email dan pilih tautan Konfirmasi langganan.

Anda akan menerima pesan pengakuan dari AWS. Amazon SNS kini dikonfigurasi untuk menerima notifikasi dan mengirimkan notifikasi sebagai email ke alamat email yang Anda tentukan.

Tugas 2: Membuat kebijakan IAM untuk notifikasi Amazon SNS

Gunakan prosedur berikut untuk membuat kebijakan AWS Identity and Access Management (IAM) kustom yang memberikan izin untuk memulai notifikasi Amazon SNS.

Untuk membuat kebijakan IAM untuk notifikasi Amazon SNS

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Pada panel navigasi, pilih Kebijakan, lalu pilih Buat kebijakan. (Jika tombol Memulai ditunjukkan, pilihlah, lalu pilih Buat Kebijakan.)

3. Pilih tab JSON.

4. Ganti konten default dengan berikut.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:region:account-id:sns-topic-name"
           }
       ]
   }

   wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah US East (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Wilayah di endpoint layanan Systems Manager di Referensi Umum Amazon Web Services.

   account-id merupakan pengenal 12 digit untuk AndaAkun AWS, dalam format. 123456789012

   sns-topic-namemewakili nama topik Amazon SNS yang ingin Anda gunakan untuk notifikasi penerbitan.

5. Pilih Next: Tags (Selanjutnya: Tanda).

6. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk kebijakan ini.

7. Pilih Next: Review (Selanjutnya: Tinjauan).

8. Di halaman Tinjau Kebijakan, untuk Nama, ketikkan nama untuk kebijakan inline tersebut. Sebagai contoh: my-sns-publish-permissions.

9. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan.

10. Pilih Buat kebijakan.

Tugas 3: Membuat IAM role untuk notifikasi Amazon SNS

Gunakan prosedur berikut untuk membuat IAM role untuk notifikasi Amazon SNS. Peran layanan ini digunakan oleh Systems Manager untuk memulai notifikasi Amazon SNS. Di semua prosedur berikutnya, peran ini disebut sebagai IAM role Amazon SNS.

Untuk membuat peran layanan IAM untuk notifikasi Amazon SNS

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran, dan lalu pilih Buat peran.

3. Pilih tipe Layanan AWSperan, lalu pilih Systems Manager.

4. Pilih kasus penggunaan Systems Manager. Lalu, pilih Selanjutnya.

5. Pada halaman Lampirkan kebijakan izin, pilih kotak di sebelah kiri nama kebijakan kustom yang Anda buat di Tugas 2. Sebagai contoh: my-sns-publish-permissions.

6. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.

   Buka bagian Batas izin dan pilih Gunakan batas izin untuk mengontrol izin peran maksimum. IAM mencakup daftar kebijakan yang AWS dikelola pelanggan dan kebijakan yang dikelola pelanggan di akun Anda. Pilih kebijakan yang akan digunakan untuk batas izin atau pilih Buat kebijakan untuk membuka tab peramban baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda untuk memilih kebijakan yang akan digunakan untuk batas izin.

7. Pilih Selanjutnya.

8. Jika memungkinkan, masukkan nama peran atau akhiran nama peran untuk membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik di AndaAkun AWS. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama PRODROLE dan prodrole. Anda tidak dapat mengubah nama peran setelah dibuat karena berbagai entitas mungkin mereferensikan peran tersebut.

9. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran baru tersebut.

10. Pilih Edit di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Pilih bagian izin untuk mengedit kasus penggunaan dan izin untuk peran tersebut.

11. (Opsional) Tambahkan metadata ke pengguna dengan cara melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang menggunakan tag di IAM, lihat Menandai sumber daya IAM di Panduan Pengguna IAM.

12. Tinjau peran dan kemudian pilih Buat peran.

13. Pilih nama peran, lalu salin atau catat nilai Peran ARN. Amazon Resource Name (ARN) untuk peran tersebut digunakan saat Anda mengirimkan perintah yang dikonfigurasi untuk menampilkan notifikasi Amazon SNS.

14. Biarkan halaman Ringkasan terbuka.

Tugas 4: Mengonfigurasi akses pengguna

Jika entitas IAM (pengguna, peran, atau grup) diberi izin administrator, maka pengguna atau peran memiliki akses ke Run Command danMaintenance Windows, kemampuan. AWS Systems Manager

Untuk entitas tanpa izin administrator, administrator harus memberikan izin berikut kepada entitas IAM:

• Kebijakan yang AmazonSSMFullAccess dikelola, atau kebijakan yang memberikan izin yang sebanding.

• iam:PassRoleizin untuk peran yang dibuat diTugas 3: Membuat IAM role untuk notifikasi Amazon SNS. Misalnya:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/sns-role-name"
        }
    ]
}

Untuk menyediakan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup diAWS IAM Identity Center:

  Buat set izin. Ikuti petunjuk di Buat set izin di Panduan AWS IAM Identity Center Pengguna.

• Pengguna yang dikelola dalam IAM melalui penyedia identitas:

  Membuat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.

• Pengguna IAM:

  • Buat peran yang dapat diasumsikan pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM di Panduan Pengguna IAM.

  • (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) di Panduan Pengguna IAM.

Untuk mengonfigurasi akses pengguna dan melampirkan iam:PassRole kebijakan ke akun pengguna

1. Di panel navigasi IAM, pilih Pengguna, lalu pilih akun pengguna yang ingin Anda konfigurasikan.

2. Pada tab Izin, di daftar kebijakan, pastikan kebijakan AmazonSSMFullAccess sudah tercantum atau ada kebijakan yang sebanding yang mengizinkan akun untuk mengakses Systems Manager.

3. Pilih Tambahkan kebijakan inline.

4. Di halaman Buat kebijakan, pilih tab Visual editor.

5. Pilih Pilih layanan, lalu pilih IAM.

6. Untuk Tindakan, dalam kotak teks Tindakan filter, masukkanPassRole, lalu centang kotak di samping PassRole.

7. Untuk Sumber Daya, verifikasi bahwa Spesifik dipilih, lalu pilih Tambahkan ARN.

8. Di bidang Tentukan ARN untuk peran, tempelkan ARN IAM role Amazon SNS yang Anda salin pada akhir Tugas 3. Sistem secara otomatis mengisi bidang Akun dan Nama peran dengan jalur.

9. Pilih Tambahkan.

10. Pilih Tinjau kebijakan.

11. Pada halaman Tinjau Kebijakan, masukkan nama, lalu pilih Buat kebijakan.

Tugas 5: Melampirkan iam: PassRole kebijakan ke peran jendela pemeliharaan Anda

Ketika Anda mendaftarkan Run Command tugas dengan jendela pemeliharaan, Anda menentukan peran layanan Amazon Resource Name (ARN). Peran layanan ini digunakan oleh Systems Manager untuk menjalankan tugas yang terdaftar ke jendela pemeliharaan. Untuk mengonfigurasi notifikasi Amazon SNS untuk Run Command tugas terdaftar, lampirkan iam:PassRole kebijakan ke peran layanan jendela pemeliharaan yang ditentukan. Jika Anda tidak bermaksud untuk mengonfigurasi tugas terdaftar untuk notifikasi Amazon SNS, maka Anda dapat melompati tugas ini.

iam:PassRoleKebijakan ini memungkinkan peran Maintenance Windows layanan untuk meneruskan peran Amazon SNS yang dibuat di Tugas 3 ke layanan Amazon SNS. Prosedur berikut menunjukkan cara melampirkan iam:PassRole kebijakan ke peran Maintenance Windows layanan.

catatan

Gunakan peran layanan kustom untuk jendela pemeliharaan Anda guna mengirimkan notifikasi terkait Run Command tugas yang terdaftar. Untuk informasi, lihat Menyiapkan Maintenance Windows.

Jika Anda perlu membuat peran layanan kustom untuk tugas jendela pemeliharaan, lihatGunakan konsol untuk mengonfigurasi izin untuk jendela pemeliharaan.

Untuk melampirkan iam:PassRole kebijakan ke Maintenance Windows peran Anda

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Peran dan pilih IAM role Amazon SNS yang dibuat di Tugas 3.

3. Salin atau catat ARN Peran dan kembalilah ke bagian Peran dari konsol IAM.

4. Pilih peran Maintenance Windows layanan kustom yang Anda buat dari daftar Nama peran.

5. Pada tab Izin, pastikan kebijakan tercantum atau ada AmazonSSMMaintenanceWindowRole kebijakan yang sebanding yang mengizinkan jendela pemeliharaan ke API Systems Manager. Jika tidak, pilih Tambahkan izin, Lampirkan kebijakan untuk melampirkannya.

6. Pilih Tambahkan izin, Buat kebijakan sebaris.

7. Pilih tab Editor visual.

8. Untuk Layanan, pilih IAM.

9. Untuk Tindakan, dalam kotak teks Tindakan filter, masukkanPassRole, lalu centang kotak di samping PassRole.

10. Untuk Sumber Daya, pilih Spesifik, lalu pilih Tambahkan ARN.

11. Di kotak Tentukan ARN untuk peran, tempelkan ARN dari IAM role Amazon SNS yang dibuat di Tugas 3, lalu pilih Tambahkan.

12. Pilih Tinjau kebijakan.

13. Pada halaman Tinjau kebijakan, tentukan nama untuk PassRole kebijakan, lalu pilih Buat kebijakan.