Autorizzazioni per l'argomento Amazon SNS - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per l'argomento Amazon SNS

Utilizza le informazioni in questo argomento se vuoi configurareAWS Configper distribuire argomenti Amazon SNS di proprietà di un altro account.AWS Configdeve disporre delle autorizzazioni necessarie per inviare notifiche a un argomento Amazon SNS. Per la configurazione dello stesso account, quandoAWS Configconsole crea un argomento Amazon SNS oppure scegli un argomento Amazon SNS dal tuo account,AWS Configassicura che l'argomento Amazon SNS includa le autorizzazioni richieste e segua le best practice di sicurezza.

Nota

AWS Configattualmente supporta solo la stessa regione e l'accesso cross-account. Argomenti SNS utilizzati per la correzioneAWS Systems ManagerI documenti (SSM) o per il canale di consegna del registratore non possono essere trasversali.

Autorizzazioni necessarie per l'argomento Amazon SNS quando utilizzi i ruoli IAM

Puoi associare policy di autorizzazione all'argomento Amazon SNS di proprietà di un altro account. Se desideri utilizzare un argomento Amazon SNS di un altro account, assicurati di allegare la seguente policy all'argomento Amazon SNS esistente.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }

Per ilResourceChiave,account-idè ilAWSIl numero di account del proprietario dell'argomento. PerID account-1,ID account-2, eID account-3, usa ilAWSaccount che invieranno dati a un argomento Amazon SNS. È possibile sostituire i valori appropriati perregioneeIl mio argomento.

QuandoAWS Configinvia una notifica a un argomento Amazon SNS, prova prima di tutto a utilizzare il ruolo IAM, ma questo tentativo ha esito negativo se il ruolo oAWSnon dispone dell'autorizzazione per pubblicare sull'argomento. In questo caso,AWS Configinvia nuovamente la notifica, questa volta come nome principale del servizio Config (SPN). Prima che la pubblicazione possa avere esito positivo, il criterio di accesso per l'argomento deve essere concessosns:Publishaccesso allaconfig.amazonaws.comnome principale. Per concedere a la concessione devi collegare una policy d'accesso, come indicato di seguito, all'argomento Amazon SNSAWS Configaccesso all'argomento Amazon SNS nel caso in cui il ruolo IAM non disponga dell'autorizzazione per la pubblicazione sull'argomento.

Autorizzazioni necessarie per l'argomento Amazon SNS quando utilizzi i ruoli collegati ai servizi

Per concedereAWS Configaccesso all'argomento Amazon SNS da un altro account, dovrai allegare la seguente politica di autorizzazione. Questo perché il nome principale del servizio di Config (SPN) è necessario per ilAWS Configruolo collegato ai servizi (SLR) per accedere a un argomento Amazon SNS da un altro account. Il seguente criterio di autorizzazione include procedure consigliate di sicurezza per assicurarsi cheAWS Configsta accedendo alle risorse per conto degli utenti attesi solo limitando l'accesso agli account elencati inAWS:SourceAccountcondizione. Questa best practice per la sicurezza è fortemente consigliata.

Per la configurazione dello stesso account, quando l'argomento Amazon SNS e la reflex sono nello stesso account e la politica Amazon SNS concede la reflex»sns:Publish«permesso, non è necessario utilizzare ilAWS ConfigSPN. I seguenti criteri di autorizzazione e procedure consigliate di sicurezza sono per la configurazione tra più account.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }

Per ilResourceChiave,account-idè ilAWSIl numero di account del proprietario dell'argomento. PerID account-1,ID account-2, eID account-3, usa ilAWSaccount che invieranno dati a un argomento Amazon SNS. È possibile sostituire i valori appropriati perregioneeIl mio argomento.

Puoi utilizzare il pluginAWS:SourceAccountcondizione nella politica dell'argomento Amazon SNS sopra per limitare il nome principale del servizio di Config (SPN) a interagire con l'argomento Amazon SNS solo quando si eseguono operazioni per conto di account specifici.

AWS Configsupporta anche l'AWS:SourceArncondizione che limita il nome principale del servizio di Config (SPN) a interagire con il bucket Amazon S3 solo quando si eseguono operazioni per conto di specificiAWS Configcanali di consegna. Quando si utilizza il nome principale del servizio di Config (SPN),AWS:SourceArnla proprietà sarà sempre impostata suarn:aws:config:sourceRegion:sourceAccountID:*dovesourceRegionè l'area del canale di distribuzione esourceAccountIDè l'ID dell'account contenente il canale di consegna. Per ulteriori informazioni su,AWS Configcanali di distribuzione, vediGestione del Canale di Distribuzione. Ad esempio, aggiungi la seguente condizione per limitare il nome principale del servizio di Config (SPN) a interagire con il tuo bucket Amazon S3 solo per conto di un canale di spedizione nelus-east-1regione nel conto123456789012:"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Risoluzione dei problemi relativi all'argomento Amazon SNS

AWS Configdeve disporre delle autorizzazioni necessarie per inviare notifiche a un argomento Amazon SNS. Se un argomento Amazon SNS non è in grado di ricevere notifiche, verifica che il ruolo IAMAWS Configsupponeva che debba averesns:Publishautorizzazioni.