Amazon SQS AWS によるリソース変更のモニタリング - AWS Config
Amazon SQS のアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SQS AWS によるリソース変更のモニタリング

AWS Config は、Amazon Simple Notification Service (SNS) を使用して、ユーザー API AWS アクティビティの結果としてサポートされているリソースを作成、更新、またはその他の方法で変更するたびに通知を送信します。ただし、特定のリソースの設定変更以外の情報は必要ない場合もあります。例えば、第三者によるセキュリティグループの設定変更を知ることは重要であっても、Amazon EC2 インスタンスのタグの変更を逐一知る必要はないでしょう。または、特定のリソースの更新時に特定のアクションを実行するプログラムを記述する場合があります。例えば、セキュリティグループの設定の変更時に、特定のワークフローを開始する場合があります。これらの方法やその他の方法でデータをプログラム的に使用したい場合は、Amazon Amazon SNS の通知エンドポイントとして Amazon シンプルキューサービスのキューを使用してください。 AWS Config

注記

通知は、Amazon SNS から E メール、SMS 対応の携帯電話やスマートフォンに対するショートメッセージサービス (SMS) のメッセージ、モバイルデバイスのアプリケーションに対する通知メッセージ、または 1 つ以上の HTTP や HTTPS エンドポイントに対する通知メッセージの形式で着信する場合があります。

リージョンごとに 1 つのトピックがある場合であれ、各リージョンでアカウントごとに 1 つのトピックがある場合であれ、1 つの SQS キューを複数のトピックにサブスクライブできます。キューは目的の SNS トピックにサブスクライブする必要があります (複数のキューを 1 つの SNS トピックにサブスクライブできます)。詳細については、Amazon SQS キューへの Amazon SNS メッセージの送信を参照してください。

Amazon SQS のアクセス許可

で Amazon SQS を使用するには AWS Config、SQS キューで許可されているすべてのアクションを実行するためのアクセス権限をアカウントに付与するポリシーを設定する必要があります。以下のポリシー例では、アカウント番号 111122223333 とアカウント番号 444455556666 に対して、各設定変更に関するメッセージを arn:aws:sqs:us-east-2:444455556666:queue1 という名前のキューを送信するためのアクセス許可を付与します。

{
  "Version": "2012-10-17",
  "Id": "Queue1_Policy_UUID",
  "Statement": 
    {
       "Sid":"Queue1_SendMessage",
       "Effect": "Allow",
       "Principal": {
            "AWS": ["111122223333","444455556666"]
         },
        "Action": "sqs:SendMessage",
        "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
     }
}

SNS トピックとそのトピックにサブスクライブする SQS キューの間の接続に対してアクセス許可を付与するポリシーを作成する必要もあります。以下は、Amazon リソースネーム (ARN) arn: aws: ns: us-east-2:111122223333:test-topic の SNS トピックが arn: aws: sqs: us-east-2:111122223333: という名前のキューに対して任意のアクションを実行することを許可するポリシーの例です。test-topic-queue

注記

SQS キューと SNS トピックのアカウントは同じリージョンに存在する必要があります。

{
  "Version": "2012-10-17",
  "Id": "SNStoSQS",
  "Statement": 
    {
      "Sid":"rule1",
      "Effect": "Allow",
      "Principal": {
        "Service": "sns.amazonaws.com"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
      "Condition" : {
        "StringEquals" : {
          "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
        }
      }
    }
}

各ポリシーには、複数のキューではなく、1 つのキューだけを対象とするステートメントを含めることができます。Amazon SQS ポリシーに関するその他の制限については、Amazon SQS ポリシーに関する特別情報を参照してください。