Amazon SNS トピックに通知を発行するアクセス許可を付与する - Amazon Relational Database Service

Amazon SNS トピックに通知を発行するアクセス許可を付与する

Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行するための Amazon RDS アクセス許可を付与するには、AWS Identity and Access Management (IAM) ポリシーを送信先トピックに添付します。アクセス許可の詳細については、Amazon Simple Notification Service デベロッパーガイドの「Amazon Simple Notification Service のケース例」を参照してください。

デフォルトで、Amazon SNS トピックには、同じアカウント内のすべての Amazon RDS リソースが通知を発行するのを許可するポリシーがあります。カスタムポリシーをアタッチして、クロスアカウント通知を許可したり、特定のリソースへのアクセスを制限したりできます。

発行先の Amazon SNS トピックにアタッチする IAM ポリシーの例を次に示します。トピックは、指定したプレフィックスと一致する名前を持つ DB インスタンスに制限されます。このポリシーを使用するには、次の値を指定します。

  • Resource – Amazon SNS トピックの Amazon リソースネーム (ARN)

  • SourceARN – RDS リソース ARN

  • SourceAccount – 自分の AWS アカウント ID。

リソースのタイプとその ARN のリストを確認するには、サービス認証リファレンス の「Amazon RDS で定義されるリソース」を参照してください。

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.rds.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:us-east-1:123456789012:topic_name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:rds:us-east-1:123456789012:db:prefix-*"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}