AWS Config
開発者ガイド

Amazon SNS トピックのアクセス許可

このトピックの情報は、自分のアカウントまたは別のアカウントが所有する Amazon SNS トピックを配信するように AWS Config を設定する場合にのみ使用します。AWS Config は、Amazon SNS トピックに通知を送信する権限を持っている必要があります。

IAM ロール使用時に Amazon SNS トピックに必要なアクセス許可

アクセス許可ポリシーは、別のアカウントが所有する Amazon SNS トピックにアタッチすることができます。他のアカウントから Amazon SNS トピックを使用する場合は、既存の Amazon SNS トピックに以下のポリシーをアタッチします。

{ "Id": "Policy1415489375392", "Statement": [ { "Sid": "AWSConfigSNSPolicy20150201", "Action": [ "SNS:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic" "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3", ] } } ] }

Resource キーの場合、account-id はトピック所有者のアカウント番号です。account-id1account-id2、およびaccount-id3で、Amazon SNS トピックにデータを送信する AWS アカウントを使用します。regionmyTopic は適切な値に置き換える必要があります。

サービスでリンクされたロール使用時に Amazon SNS トピックに必要なアクセス許可

サービスにリンクされたロールを使用して AWS Config を設定する場合は、アクセス許可ポリシーを Amazon SNS トピックにアタッチする必要があります。自分のアカウントから Amazon SNS トピックを使用する場合は、既存の Amazon SNS トピックに以下のポリシーをアタッチします。

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "AWS": "[configRoleArn]" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic" } ] }

regionaccount-idmyTopic は適切な値に置き換える必要があります。

注記

他のアカウントから Amazon SNS トピックを使用する場合、AWS Config では、サービスにリンクされたロールを使用しないことをお勧めします。

Amazon SNS トピックのトラブルシューティング

AWS Config には、Amazon SNS トピックに通知を送信するためのアクセス許可が必要です。Amazon SNS トピックで通知を受け取ることができない場合は、AWS Config で引き受けていた IAM ロールに sns:publish アクセス許可が付与されていることを確認します。