Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per l'argomento Amazon SNS
Questo argomento descrive come configurare la distribuzione AWS Config di argomenti Amazon SNS di proprietà di un account diverso. AWS Config deve disporre delle autorizzazioni necessarie per inviare notifiche a un argomento di Amazon SNS. Per la configurazione dello stesso account, quando la AWS Config console crea un argomento Amazon SNS o scegli un argomento Amazon SNS dal tuo account AWS Config , assicurati che l'argomento Amazon SNS includa le autorizzazioni richieste e segua le best practice di sicurezza.
Nota
AWS Config attualmente supporta solo l'accesso nella stessa regione e tra più account. Gli argomenti SNS utilizzati per i documenti di riparazione AWS Systems Manager (SSM) o per il canale di distribuzione del registratore non possono essere interregionali.
Indice
Autorizzazioni richieste per l'argomento Amazon SNS quando si usano i ruoli IAM
Puoi collegare una policy di autorizzazione all'argomento Amazon SNS di proprietà di un altro account. Se desideri utilizzare un argomento Amazon SNS di un altro account, assicurati di collegare la seguente policy all'argomento Amazon SNS esistente.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Nella chiave Resource, account-id corrisponde al numero di account AWS
del proprietario dell'argomento. Come account-id1, account-id2 e account-id3, utilizza gli account AWS che invieranno i dati a un argomento Amazon SNS. Puoi sostituire i valori appropriati per i parametri region e myTopic.
Quando AWS Config invia una notifica a un argomento di Amazon SNS, tenta innanzitutto di utilizzare il ruolo IAM, ma questo tentativo fallisce se il ruolo o l' AWS account non dispone dell'autorizzazione per la pubblicazione sull'argomento. In questo caso, AWS Config invia nuovamente la notifica, questa volta come nome principale AWS Config del servizio (SPN). Prima che la pubblicazione possa andare a buon fine, la policy di accesso per l'argomento deve concedere l'accesso sns:Publish al nome del principale config.amazonaws.com. È necessario collegare una policy di accesso, descritta nella sezione successiva, all'argomento Amazon SNS per concedere ad AWS Config l'accesso all'argomento Amazon SNS se il ruolo IAM non è autorizzato a pubblicare sull'argomento.
Autorizzazioni richieste per l'argomento Amazon SNS quando si utilizzano i ruoli collegati ai servizi
Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere all'argomento Amazon SNS. Quindi, se configuri AWS Config utilizzando un ruolo collegato al servizio (SLR), AWS Config invierà invece le informazioni come responsabile del servizio. AWS Config Dovrai allegare una politica di accesso, menzionata di seguito, all'argomento Amazon SNS per concedere AWS Config l'accesso all'invio di informazioni all'argomento Amazon SNS.
Per la configurazione nello stesso account, quando l'argomento Amazon SNS e il ruolo SLR si trovano nello stesso account e la policy di Amazon SNS concede l'autorizzazione "sns:Publish" dell'SLR, non è necessario utilizzare l'SPN AWS Config
. La policy di autorizzazione riportata di seguito e le raccomandazioni sulle best practice di sicurezza riguardano la configurazione tra più account.
Concessione dell' AWS Config accesso all'argomento Amazon SNS.
Questa politica consente di AWS Config inviare una notifica a un argomento di Amazon SNS. Per concedere AWS Config l'accesso all'argomento Amazon SNS da un altro account, dovrai allegare la seguente politica di autorizzazione.
Nota
Come best practice in materia di sicurezza, si consiglia vivamente di assicurarsi che AWS Config acceda alle risorse per conto degli utenti previsti solo limitando l'accesso agli account indicati nelle condizioni. AWS:SourceAccount
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Nella chiave Resource, account-id corrisponde al numero di account AWS
del proprietario dell'argomento. Come account-id1, account-id2 e account-id3, utilizza gli account AWS che invieranno i dati a un argomento Amazon SNS. Puoi sostituire i valori appropriati per i parametri region e myTopic.
Puoi utilizzare la AWS:SourceAccount condizione della precedente policy tematica di Amazon SNS per limitare l'interazione del nome principale del AWS Config servizio (SPN) solo con l'argomento Amazon SNS durante l'esecuzione di operazioni per conto di account specifici.
AWS Config supporta anche la AWS:SourceArn condizione che limita il nome principale del AWS Config
servizio (SPN) all'interazione con il bucket S3 solo quando si eseguono operazioni per conto di canali di distribuzione specifici. AWS Config Quando si utilizza il nome principale del AWS Config servizio (SPN), la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID sull'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali di AWS Config distribuzione, consulta Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare l'interazione del nome principale del AWS Config servizio (SPN) con il tuo bucket S3 solo per conto di un canale di distribuzione nella us-east-1 regione dell'account:. 123456789012 "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
Risoluzione dei problemi legati agli argomenti Amazon SNS
AWS Config deve disporre delle autorizzazioni per inviare notifiche a un argomento di Amazon SNS. Se un argomento Amazon SNS non può ricevere notifiche, verifica che il ruolo IAM che AWS Config stava assumendo disponga delle autorizzazioni richieste. sns:Publish
