Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS - Amazon Managed Service per Prometheus
Prevenzione del confused deputy tra servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS

Devi autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS. La seguente dichiarazione politica fornirà tale autorizzazione. Include una Condition dichiarazione per aiutare a prevenire un problema di sicurezza noto come problema confuso del vice. L'Conditionistruzione limita l'accesso all'argomento Amazon SNS per consentire solo le operazioni provenienti da questo account specifico e dall'area di lavoro del servizio gestito da Amazon per Prometheus. Per ulteriori informazioni sul problema del "confused deputy", consulta Prevenzione del confused deputy tra servizi.

Per autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS

  1. Apri la console Amazon SNS all'indirizzo https://console.aws.amazon.com/sns/v3/home.

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli il nome dell'argomento da utilizzare per il servizio gestito da Amazon per Prometheus.

  4. Scegli Modifica.

  5. Scegli policy di accesso e aggiungi la seguente istruzione di policy alla policy esistente.

    {
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

    [Facoltativo] Se il tuo argomento Amazon SNS è abilitato alla crittografia lato servizio (SSE), devi consentire ad Amazon Managed Service for Prometheus di inviare messaggi a questo argomento crittografato aggiungendo le kms:Decrypt autorizzazioni kms:GenerateDataKey* e alla politica chiave della AWS KMS chiave utilizzata per crittografare l'argomento.

    Ad esempio, puoi aggiungere quanto segue alla policy:

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "aps.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}

    Per ulteriori informazioni, consulta AWS Autorizzazioni KMS per argomenti SNS.

  6. Seleziona Salvataggio delle modifiche.

Nota

Per impostazione predefinita, Amazon SNS crea la policy di accesso con la condizione attiva AWS:SourceOwner. Per ulteriori informazioni sui punti di accesso, consulta Policy di accesso SNS .

Nota

IAM segue la prima regola della policy più restrittiva. Nel tuo argomento SNS, se esiste un blocco di policy più restrittivo del blocco di policy di Amazon SNS documentato, l'autorizzazione per tale policy non viene concessa. Per valutare la tua policy e scoprire cosa è stata concessa, consulta Logica di valutazione della policy.

Prevenzione del confused deputy tra servizi

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni con cui il servizio gestito da Amazon per Prometheus fornisce a Amazon SNS una risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il valore di aws:SourceArn deve essere l'ARN dell'area di lavoro del servizio gestito da Amazon per Prometheus.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:servicename::123456789012:*.

L'esempio seguente mostra in Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in Microsoft AD gestito per prevenire il problema "confused deputy".