Policy SNS tematica di Amazon per CloudTrail

Per inviare notifiche a un SNS argomento, è CloudTrail necessario disporre delle autorizzazioni richieste. CloudTrailassegna automaticamente le autorizzazioni richieste all'argomento quando crei un SNS argomento Amazon come parte della creazione o dell'aggiornamento di un percorso nella CloudTrail console.

Importante

Come best practice di sicurezza, per limitare l'accesso al tuo SNS argomento, ti consigliamo vivamente di modificare manualmente la IAM politica allegata all'SNSargomento per aggiungere chiavi di condizione dopo aver creato o aggiornato un percorso per l'invio di SNS notifiche. Per ulteriori informazioni, consultare Procedure ottimali di sicurezza per la politica SNS tematica in questo argomento.

CloudTrail aggiunge automaticamente alla policy la seguente dichiarazione con i seguenti campi:

• I consentitiSIDs.

• Il nome principale del servizio per CloudTrail.

• L'SNSargomento, inclusi la regione, l'ID dell'account e il nome dell'argomento.

La seguente politica consente di CloudTrail inviare notifiche sulla consegna dei file di registro dalle regioni supportate. Per ulteriori informazioni, consulta CloudTrail Regioni supportate. Questa è la politica predefinita che viene allegata a una politica di SNS argomento nuova o esistente quando si crea o si aggiorna un percorso e si sceglie di abilitare SNS le notifiche.

SNSpolitica dell'argomento

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailSNSPolicy20131101",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName"
        }
    ]
}

Per utilizzare un SNS argomento Amazon AWS KMS crittografato per inviare notifiche, devi anche abilitare la compatibilità tra l'origine dell'evento (CloudTrail) e l'argomento crittografato aggiungendo la seguente dichiarazione alla politica di. AWS KMS key

KMSpolitica chiave

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni, consulta Abilitare la compatibilità tra le fonti di eventi provenienti dai AWS servizi e gli argomenti crittografati.

Indice

• Procedure ottimali di sicurezza per la politica SNS tematica
• Specificare un argomento esistente per l'invio di notifiche
• Risoluzione dei problemi relativi alla politica dell'SNSargomento
  • CloudTrail non sta inviando notifiche per una regione
  • CloudTrail non sta inviando notifiche per un account membro di un'organizzazione
• Risorse aggiuntive

Procedure ottimali di sicurezza per la politica SNS tematica

Per impostazione predefinita, la dichiarazione IAM politica CloudTrail allegata al tuo SNS argomento Amazon consente al responsabile del CloudTrail servizio di pubblicare su un SNS argomento, identificato da unARN. Per impedire a un utente malintenzionato di accedere al tuo SNS argomento e di inviare notifiche per conto dei CloudTrail destinatari dell'argomento, modifica manualmente la policy relativa all' CloudTrail SNSargomento aggiungendo una chiave di aws:SourceArn condizione all'informativa allegata da. CloudTrail Il valore di questa chiave è il ARN percorso, o una serie di percorsi ARNs che utilizzano l'SNSargomento. Poiché include sia l'ID specifico del percorso che l'ID dell'account proprietario del percorso, limita l'accesso all'SNSargomento solo agli account autorizzati a gestire il percorso. Prima di aggiungere le chiavi delle condizioni alla politica dell'SNSargomento, recupera il nome dell'SNSargomento dalle impostazioni del percorso nella CloudTrail console.

Anche la chiave di condizione aws:SourceAccount è supportata, ma non consigliata.

Per aggiungere la chiave aws:SourceArn condizionale alla politica dell'SNSargomento

1. Apri la SNS console Amazon su https://console.aws.amazon.com/sns/v3/home.

2. Nel pannello di navigazione, scegli Topics (Argomenti).

3. Scegli l'SNSargomento mostrato nelle impostazioni del percorso, quindi scegli Modifica.

4. Espandi Access policy (Policy di accesso).

5. Nell'JSONeditor delle politiche di accesso, cerca un blocco simile al seguente esempio.

       {
         "Sid": "AWSCloudTrailSNSPolicy20150319",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
       }

6. Aggiungi un nuovo blocco per una condizione, aws:SourceArn, come mostrato nell'esempio seguente. Il valore di aws:SourceArn è il ARN percorso a cui si inviano le SNS notifiche.

       {
         "Sid": "AWSCloudTrailSNSPolicy20150319",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
         "Condition": {
           "StringEquals": {
             "aws:SourceArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail/Trail3"
           }
         }
       }

7. Quando hai finito di modificare la politica dell'SNSargomento, scegli Salva modifiche.

Per aggiungere la chiave aws:SourceAccount condizionale alla politica dell'SNSargomento

1. Apri la SNS console Amazon su https://console.aws.amazon.com/sns/v3/home.

2. Nel pannello di navigazione, scegli Topics (Argomenti).

3. Scegli l'SNSargomento mostrato nelle impostazioni del percorso, quindi scegli Modifica.

4. Espandi Access policy (Policy di accesso).

5. Nell'JSONeditor delle politiche di accesso, cerca un blocco simile al seguente esempio.

       {
         "Sid": "AWSCloudTrailSNSPolicy20150319",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496"
       }

6. Aggiungi un nuovo blocco per una condizione, aws:SourceAccount, come mostrato nell'esempio seguente. Il valore di aws:SourceAccount è l'ID dell'account proprietario del CloudTrail percorso. Questo esempio limita l'accesso all'SNSargomento solo agli utenti che possono accedere all' AWS account 123456789012.

       {
         "Sid": "AWSCloudTrailSNSPolicy20150319",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496",
         "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "123456789012"
           }
         }
       }

7. Quando hai finito di modificare la politica dell'SNSargomento, scegli Salva modifiche.

Specificare un argomento esistente per l'invio di notifiche

Puoi aggiungere manualmente le autorizzazioni per un SNS argomento di Amazon alla politica degli argomenti nella SNS console Amazon e quindi specificare l'argomento nella CloudTrail console.

Per aggiornare manualmente la politica di un SNS argomento

1. Apri la SNS console Amazon su https://console.aws.amazon.com/sns/v3/home.

2. Scegliere Topics (Argomenti) e quindi l'argomento.

3. Scegli Modifica e scorri verso il basso fino a Politica di accesso.

4. Aggiungi l'estratto conto SNS topic policy con i valori appropriati per la regione, l'ID dell'account e il nome dell'argomento.

5. Se il tuo argomento è crittografato, devi consentire l' CloudTrail accesso kms:GenerateDataKey* e le kms:Decrypt autorizzazioni. Per ulteriori informazioni, consulta Encrypted SNS topic KMS key policy.

6. Seleziona Save changes (Salva modifiche).

7. Torna alla CloudTrail console e specifica l'argomento del percorso.

Risoluzione dei problemi relativi alla politica dell'SNSargomento

Le sezioni seguenti descrivono come risolvere i problemi relativi alla politica dell'SNSargomento.

Scenari:

• CloudTrail non sta inviando notifiche per una regione
• CloudTrail non sta inviando notifiche per un account membro di un'organizzazione

CloudTrail non sta inviando notifiche per una regione

Quando crei un nuovo argomento come parte della creazione o dell'aggiornamento di un percorso, CloudTrail assegna le autorizzazioni necessarie all'argomento. La politica dell'argomento utilizza il nome principale del servizio"cloudtrail.amazonaws.com", che consente di CloudTrail inviare notifiche per tutte le regioni.

Se non invia notifiche per una regione, CloudTrail è possibile che l'argomento abbia una politica precedente che specifica l' CloudTrail account IDs per ciascuna regione. Questa politica CloudTrail autorizza l'invio di notifiche solo per le regioni specificate.

La seguente politica tematica consente di CloudTrail inviare notifiche solo per le nove regioni specificate:

Esempio politica tematica con account IDs

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AWSCloudTrailSNSPolicy20131101",
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::903692715234:root",
            "arn:aws:iam::035351147821:root",
            "arn:aws:iam::859597730677:root",
            "arn:aws:iam::814480443879:root",
            "arn:aws:iam::216624486486:root",
            "arn:aws:iam::086441151436:root",
            "arn:aws:iam::388731089494:root",
            "arn:aws:iam::284668455005:root",
            "arn:aws:iam::113285607260:root"
        ]},
        "Action": "SNS:Publish",
        "Resource": "aws:arn:sns:us-east-1:123456789012:myTopic"
    }]
}

Questa politica utilizza un'autorizzazione basata sull' CloudTrail account individualeIDs. Per inviare i log per una nuova regione, devi aggiornare manualmente la politica per includere l'ID dell' CloudTrailaccount per quella regione. Ad esempio, poiché è CloudTrail stato aggiunto il supporto per la regione Stati Uniti orientali (Ohio), è necessario aggiornare la politica per aggiungere l'ID dell'account ARN per quella regione:. "arn:aws:iam::475085895292:root"

Come procedura consigliata, aggiorna la politica per utilizzare un'autorizzazione con il responsabile del CloudTrail servizio. A tale scopo, sostituisci l'ID dell'account ARNs con il nome principale del servizio:"cloudtrail.amazonaws.com".

Ciò consente CloudTrail di inviare notifiche per le regioni attuali e nuove. Di seguito è riportata una versione aggiornata del policy precedente:

Esempio Policy dell'argomento con il nome principale del servizio

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AWSCloudTrailSNSPolicy20131101",
        "Effect": "Allow",
        "Principal": {"Service": "cloudtrail.amazonaws.com"},
        "Action": "SNS:Publish",
        "Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
    }]
}

Verifica che la policy includa i valori corretti:

• Nel campo Resource, specificare il numero di account del proprietario dell'argomento. Per gli argomenti creati specificare il numero di account.

• Specificate i valori appropriati per la regione e il nome dell'SNSargomento.

CloudTrail non sta inviando notifiche per un account membro di un'organizzazione

Quando un account membro con un percorso AWS Organizations organizzativo non invia SNS notifiche Amazon, potrebbe esserci un problema con la configurazione della policy dell'SNSargomento. CloudTrail crea gli itinerari organizzativi negli account dei membri anche se la convalida di una risorsa fallisce, ad esempio, l'SNSargomento dell'organization trail non include tutti gli account IDs dei membri. Se la politica dell'SNSargomento non è corretta, si verifica un errore di autorizzazione.

Per verificare se la politica degli SNS argomenti di un percorso presenta un errore di autorizzazione:

• Dalla CloudTrail console, controlla la pagina dei dettagli del percorso. Se si verifica un errore di autorizzazione, la pagina dei dettagli include un avviso SNS authorization failed e indica di correggere la politica dell'SNSargomento.

• Da AWS CLI, esegui il get-trail-statuscomando. Se si verifica un errore di autorizzazione, l'output del comando include il LastNotificationError campo con un valore diAuthorizationError.

Risorse aggiuntive

Per ulteriori informazioni sugli SNS argomenti e su come abbonarsi, consulta la Amazon Simple Notification Service Developer Guide.