AWS Config
開発者ガイド

Amazon SQS を使用した AWS リソースの変更のモニタリング

ユーザーの API アクティビティの結果として、サポートされている AWS リソースが作成、更新、または変更されるたびに、AWS Config では Amazon Simple Notification Service (SNS) を使用して通知を送信します。ただし、特定のリソースの設定変更以外の情報は必要ない場合もあります。たとえば、第三者によるセキュリティグループの設定変更を知ることは重要でも、Amazon EC2 インスタンスのタグの各変更を知る必要はない場合があります。または、特定のリソースの更新時に特定のアクションを実行するプログラムを記述する場合があります。たとえば、セキュリティグループの設定の変更時に、特定のワークフローを開始する場合があります。このような方法で AWS Config のデータをプログラムで使用する場合は、Amazon SNS の通知エンドポイントとして Amazon Simple Queue Service キューを使用します。

注記

通知は、Amazon SNS から E メール、SMS 対応の携帯電話やスマートフォンに対するショートメッセージサービス (SMS) のメッセージ、モバイルデバイスのアプリケーションに対する通知メッセージ、または 1 つ以上の HTTP や HTTPS エンドポイントに対する通知メッセージの形式で着信する場合があります。

リージョンごとに 1 つのトピックがある場合であれ、各リージョンでアカウントごとに 1 つのトピックがある場合であれ、1 つの SQS キューを複数のトピックにサブスクライブできます。キューは目的の SNS トピックにサブスクライブする必要があります(複数のキューを 1 つの SNS トピックにサブスクライブできます)。 詳細については、「Amazon SQS キューへの Amazon SNS メッセージの送信」を参照してください。

Amazon SQS アクセス許可

AWS Config で Amazon SQS を使用するには 、SQS キューに対して許可されるすべてのアクションを実行するアクセス許可をアカウントに付与するポリシーを設定する必要があります。以下のポリシー例では、アカウント番号 111122223333 とアカウント番号 444455556666 に対して、各設定変更に関するメッセージを arn:aws:sqs:us-east-2:444455556666:queue1 という名前のキューを送信するためのアクセス許可を付与します。

{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": { "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": ["111122223333","444455556666"] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" } }

SNS トピックとそのトピックにサブスクライブする SQS キューの間の接続に対してアクセス許可を付与するポリシーを作成する必要もあります。次のポリシー例では、Amazon リソースネーム (ARN) が arn:aws:sns:us-east-2:111122223333:test-topic である SNS トピックに対して、arn:aws:sqs:us-east-2:111122223333:test-topic-queue という名前のキューにアクションを実行することを許可します。

注記

SQS キューと SNS トピックのアカウントは同じリージョンに存在する必要があります。

{ "Version": "2012-10-17", "Id": "SNStoSQS", "Statement": { "Sid":"rule1", "Effect": "Allow", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue", "Condition" : { "StringEquals" : { "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic" } } } }

各ポリシーには、複数のキューではなく、1 つのキューだけを対象とするステートメントを含めることができます。Amazon SQS ポリシーに関するその他の制限については、「 Amazon SQS ポリシーに関する特別情報」を参照してください。

このページの内容: