Amazon SQS による AWS リソース変更のモニタリング - AWS Config
Amazon SQS のアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SQS による AWS リソース変更のモニタリング

AWS Config は、Amazon Simple Notification Service (SNS) を使用して、ユーザー API アクティビティの結果としてサポートされている AWS リソースが作成、更新、またはその他の方法で変更されるたびに通知を送信します。ただし、特定のリソースの設定変更以外の情報は必要ない場合もあります。例えば、第三者によるセキュリティグループの設定変更を知ることは重要であっても、Amazon EC2 インスタンスのタグの変更を逐一知る必要はないでしょう。または、特定のリソースの更新時に特定のアクションを実行するプログラムを記述する場合があります。例えば、セキュリティグループの設定の変更時に、特定のワークフローを開始する場合があります。これらの方法やその他の方法で からのデータをプログラム AWS Config で消費する場合は、Amazon SNS の通知エンドポイントとして Amazon Simple Queue Service キューを使用します。

注記

通知は、Amazon SNS から E メール、SMS 対応の携帯電話やスマートフォンに対するショートメッセージサービス (SMS) のメッセージ、モバイルデバイスのアプリケーションに対する通知メッセージ、または 1 つ以上の HTTP や HTTPS エンドポイントに対する通知メッセージの形式で着信する場合があります。

リージョンごとに 1 つのトピックがある場合でも、リージョンごとにアカウントごとに 1 つのトピックがある場合でも、1 つの SQS キューで複数のトピックをサブスクライブできます。キューは目的の SNS トピックにサブスクライブする必要があります (複数のキューを 1 つの SNS トピックにサブスクライブできます)。詳細については、Amazon SQS キューへの Amazon SNS メッセージの送信を参照してください。

Amazon SQS のアクセス許可

で Amazon SQS を使用するには AWS Config、SQS キューで許可されているすべてのアクションを実行するアクセス許可をアカウントに付与するポリシーを設定する必要があります。以下のポリシー例では、アカウント番号 111122223333 とアカウント番号 444455556666 に対して、各設定変更に関するメッセージを arn:aws:sqs:us-east-2:444455556666:queue1 という名前のキューを送信するためのアクセス許可を付与します。

{
  "Version": "2012-10-17",
  "Id": "Queue1_Policy_UUID",
  "Statement": 
    {
       "Sid":"Queue1_SendMessage",
       "Effect": "Allow",
       "Principal": {
            "AWS": ["111122223333","444455556666"]
         },
        "Action": "sqs:SendMessage",
        "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
     }
}

SNS トピックとそのトピックにサブスクライブする SQS キューの間の接続に対してアクセス許可を付与するポリシーを作成する必要もあります。以下は、Amazon リソースネーム (ARN) arn:aws:sns:us-east-2:111122223333:test-topic を持つ SNS トピックが、arn:aws:sqs:us-east-2:111122223333 という名前のキューに対してアクションを実行することを許可するポリシーの例ですtest-topic-queue。

注記

SQS キューと SNS トピックのアカウントは同じリージョンに存在する必要があります。

{
  "Version": "2012-10-17",
  "Id": "SNStoSQS",
  "Statement": 
    {
      "Sid":"rule1",
      "Effect": "Allow",
      "Principal": {
        "Service": "sns.amazonaws.com"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
      "Condition" : {
        "StringEquals" : {
          "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
        }
      }
    }
}

各ポリシーには、複数のキューではなく、1 つのキューだけを対象とするステートメントを含めることができます。Amazon SQS ポリシーに関するその他の制限については、Amazon SQS ポリシーに関する特別情報を参照してください。