(オプション) OpsItems に関する通知を受け取るように Amazon SNS を設定する

システムが OpsItem を作成するか、既存の OpsItem を更新したときに、Amazon Simple Notification Service (Amazon SNS) トピックで通知を受け取るように OpsCenter を設定できます。

OpsItems の通知を受信するには、次のステップを実行します。

• ステップ 1: Amazon SNS トピックを作成してサブスクライブする

• ステップ 2: Amazon SNS アクセスポリシーを更新する

• ステップ 3: AWS KMS のアクセスポリシーを更新する

  注記

  ステップ 2 で AWS Key Management Service （AWS KMS) サーバー側の暗号化を有効にする場合は、ステップ 3 を完了する必要があります。それ以外の場合は、ステップ 3 をスキップできます。

• ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する

ステップ 1: Amazon SNS トピックを作成してサブスクライブする

通知を受け取るには、Amazon SNS トピックを作成してサブスクライブする必要があります。詳細については、Amazon Simple Notification Service デベロッパーガイドの「Amazon SNS トピックを作成する」および「Amazon SNS トピックへサブスクライブする」を参照してください。

注記

複数の AWS リージョン またはアカウントOpsCenterで を使用している場合は、OpsItem通知を受け取る各リージョンまたはアカウントで Amazon SNS トピックを作成してサブスクライブする必要があります。

ステップ 2: Amazon SNS アクセスポリシーを更新する

Amazon SNS トピックを OpsItems に関連付ける必要があります。以下の手順を使用して Amazon SNS アクセスポリシーをセットアップし、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItems 通知を発行できるようにします。

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/sns/v3/home で Amazon SNS コンソールを開きます。

2. ナビゲーションペインで、[トピック] を選択します。

3. ステップ 1 で作成したトピックを選択し、[編集] をクリックします。

4. [アクセスポリシー] を展開します。

5. 既存のポリシーに次の Sid ブロックを追加します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

   {
         "Sid": "Allow OpsCenter to publish to this topic",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": "SNS:Publish",
         "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
         "Condition": {
         "StringEquals": {
           "AWS:SourceAccount": "account ID" //  Account ID of the OpsItem owner
         }
      }
   }

   注記

   混乱した代理シナリオから保護する aws:SourceAccount グローバル条件キー。この条件キーを使用するには、値を OpsItem 所有者のアカウント ID に設定します。詳細については、「IAM ユーザーガイド」の「混乱した代理問題」を参照してください。

6. [変更を保存] をクリックします。

OpsItems が作成または更新されると、システムは Amazon SNS トピックに通知を送信するようになります。

重要

ステップ 2 で AWS Key Management Service （AWS KMS) サーバー側の暗号化キーを使用して Amazon SNS トピックを設定する場合は、ステップ 3 を完了します。それ以外の場合は、ステップ 3 をスキップできます。

ステップ 3: AWS KMS のアクセスポリシーを更新する

Amazon SNS トピックの AWS KMS サーバー側の暗号化を有効にした場合は、トピックの設定時に AWS KMS key 選択した のアクセスポリシーも更新する必要があります。以下の手順を使用してアクセスポリシーを更新し、Systems Manager がステップ 1 で作成した Amazon SNS トピックに OpsItem 通知を発行できるようにします。

注記

OpsCenter は、 AWS マネージドキー を使用して設定された Amazon SNS トピックへの OpsItems の発行をサポートしていません。

1. https://console.aws.amazon.com/kms で AWS KMS コンソールを開きます。

2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

4. トピックの作成時に選択した KMS キーの ID を選択します。

5. [Key Policy] (キーポリシー) セクションで、[Switch to policy view] (ポリシービューへの切り替え) を選択します。

6. [Edit] を選択します。

7. 既存のポリシーに次の Sid ブロックを追加します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

   {
         "Sid": "Allow OpsItems to decrypt the key",
         "Effect": "Allow",
         "Principal": {
           "Service": "ssm.amazonaws.com"
         },
         "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
          "Resource": "arn:aws:kms:region:account ID:key/key ID"
       }

   次の例では、新しいブロックが行 14 に入力されています。

   

8. [変更を保存] をクリックします。

ステップ 4: デフォルトの OpsItems ルールを有効にして新しい OpsItems の通知を送信する

Amazon のデフォルトOpsItemsルール EventBridge には、Amazon SNS 通知用の Amazon リソースネーム (ARN) が設定されていません。次の手順に従って EventBridge でルールを編集し、 notifications ブロックを入力します。

デフォルトの OpsItem ルールに通知ブロックを追加するには

1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

2. ナビゲーションペインで、OpsCenter を選択します。

3. [OpsItems] タブを選択し、[Configure sources (ソースの設定)] を選択します。

4. 次の例に示すように、notifications ブロックを使用して設定するソースルールの名前を選択します。

   

   Amazon でルールが開きます EventBridge。

5. ルールの詳細ページの [Targets] (ターゲット) タブで [Edit] (編集) を選択します。

6. [Additional settings] (追加設定) セクションの [Configure target input] (ターゲット入力の設定) を選択します。

7. [テンプレート] ボックスに、次の形式で notifications ブロックを追加します。

   "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],

   以下に例を示します。

   "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],

   米国西部 (オレゴン) (us-west-2) リージョンの次の例に示すように、 ブロックの前に通知resourcesブロックを入力します。

   {
       "title": "EBS snapshot copy failed",
       "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
       "category": "Availability",
       "severity": "2",
       "source": "EC2",
       "notifications": [{
           "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
       }],
       "resources": <resources>,
       "operationalData": {
           "/aws/dedup": {
               "type": "SearchableString",
               "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
           },
           "/aws/automations": {
               "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
           },
           "failure-cause": {
               "value": <failure - cause>
           },
           "source": {
               "value": <source>
           },
           "start-time": {
               "value": <start - time>
           },
           "end-time": {
               "value": <end - time>
           }
       }
   }

8. [確認] を選択します。

9. [次へ] をクリックします。

10. [次へ] を選択します。

11. [ルールの更新] を選択します。

次回システムがデフォルトルールの OpsItem を作成するときに、Amazon SNS トピックに通知を発行します。