Monitoraggio AWS delle modifiche alle risorse con Amazon SQS - AWS Config
Autorizzazioni per Amazon SQS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio AWS delle modifiche alle risorse con Amazon SQS

AWS Config utilizza Amazon Simple Notification Service (SNS) per inviarti notifiche ogni volta che una AWS risorsa supportata viene creata, aggiornata o modificata in altro modo a seguito dell'attività dell'API dell'utente. Tuttavia, potresti essere interessato alle modifiche della configurazione relative solo a specifiche risorse. Ad esempio, potresti considerare fondamentale sapere quando viene modificata la configurazione di un gruppo di sicurezza, ma non ritieni necessario ricevere notifiche per ogni modifica ai tag delle istanze Amazon EC2. In alternativa, puoi scrivere un programma che esegue azioni specifiche quando risorse specifiche vengono aggiornate. Ad esempio, potresti voler avviare un determinato flusso di lavoro quando viene modificata la configurazione di un gruppo di sicurezza. Se desideri utilizzare programmaticamente i dati da AWS Config questi o altri modi, utilizza una coda di Amazon Simple Queue Service come endpoint di notifica per Amazon SNS.

Nota

Le notifiche possono anche provenire da Amazon SNS sotto forma di e-mail, messaggio SMS (Short Message Service) verso cellulari e smartphone compatibili, messaggio di notifica verso un'applicazione su un dispositivo mobile o messaggio di notifica a uno o più endpoint HTTP o HTTPS.

Puoi avere una singola coda SQS per sottoscrivere più argomenti, indipendentemente dal fatto che tu abbia un argomento per ogni regione o un argomento per ogni account per ogni regione. Devi sottoscrivere la coda all'argomento SNS desiderato. (Puoi sottoscrivere molteplici code a un unico argomento SNS). Per ulteriori informazioni, consulta Invio di messaggi Amazon SNS a code Amazon SQS.

Autorizzazioni per Amazon SQS

Per utilizzare Amazon SQS con AWS Config, devi configurare una policy che conceda al tuo account le autorizzazioni per eseguire tutte le azioni consentite su una coda SQS. La policy di esempio seguente concede all'account numero 111122223333 e all'account numero 444455556666 l'autorizzazione all'invio di messaggi relativi a ogni modifica della configurazione verso la coda denominata arn:aws:sqs:us-east-2:444455556666:queue1.

{
  "Version": "2012-10-17",
  "Id": "Queue1_Policy_UUID",
  "Statement": 
    {
       "Sid":"Queue1_SendMessage",
       "Effect": "Allow",
       "Principal": {
            "AWS": ["111122223333","444455556666"]
         },
        "Action": "sqs:SendMessage",
        "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
     }
}

Inoltre, è necessario creare una policy che conceda le autorizzazioni alle connessioni tra un argomento SNS e la coda SQS che si sottoscrive a tale argomento. Di seguito è riportato un esempio di policy che consente all'argomento SNS con Amazon Resource Name (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic di eseguire qualsiasi azione sulla coda denominata arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue

Nota

Gli account dell'argomento SNS e della coda SQS devono appartenere alla stessa regione.

{
  "Version": "2012-10-17",
  "Id": "SNStoSQS",
  "Statement": 
    {
      "Sid":"rule1",
      "Effect": "Allow",
      "Principal": {
        "Service": "sns.amazonaws.com"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
      "Condition" : {
        "StringEquals" : {
          "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
        }
      }
    }
}

Ogni policy può includere istruzioni che riguardano solo una singola coda, non più code. Per informazioni su altre restrizioni sulle policy di Amazon SQS, consulta Informazioni specifiche alle policy Amazon SQS.