Change Manager 알림에 대한 Amazon SNS 주제 구성 - AWS Systems Manager
태스크 1: Amazon SNS 주제 생성 및 구독태스크 2: Amazon SNS 액세스 정책 업데이트태스크 3: (옵션) AWS Key Management Service 액세스 정책 업데이트

Change Manager 알림에 대한 Amazon SNS 주제 구성

변경 요청 및 변경 템플릿과 관련된 이벤트에 대해 Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보내도록 AWS Systems Manager의 기능인 Change Manager를 구성할 수 있습니다. 주제를 추가한 Change Manager 이벤트에 대한 알림을 받으려면 다음 태스크를 완료합니다.

태스크 1: Amazon SNS 주제 생성 및 구독

먼저, Amazon SNS 주제를 생성하고 구독합니다. 자세한 내용은 Amazon Simple Notification Service 개발자 안내서Amazon SNS 주제 생성Amazon SNS 주제 구독을 참조하세요.

참고

알림을 수신하려면 위임된 관리자 계정과 동일한 AWS 리전 및 AWS 계정에 있는 Amazon SNS 주제의 Amazon 리소스 이름(ARN)을 지정해야 합니다.

태스크 2: Amazon SNS 액세스 정책 업데이트

다음 절차에 따라 Systems Manager가 태스크 1에서 생성한 Amazon SNS 주제에 Change Manager 알림을 게시할 수 있도록 Amazon SNS 액세스 정책을 업데이트합니다. 이 태스크를 완료하지 않으면 주제를 추가하는 이벤트에 대한 알림을 보낼 권한이 Change Manager에 없습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/sns/v3/home에서 Amazon SNS 콘솔을 엽니다.

  2. 탐색 창에서 주제를 선택합니다.

  3. 태스크 1에서 생성한 주제를 선택한 다음 편집(Edit)을 선택합니다.

  4. 액세스 정책(Access policy)를 확장합니다.

  5. 다음 Sid 블록을 기존 정책에 추가 및 업데이트하고 각 user input placeholder를 사용자의 정보로 바꿉니다.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    기존 Sid 블록 뒤에 이 블록을 입력하고 region, account-id, topic-name을 생성한 주제에 대한 적절한 값으로 바꿉니다.

  6. 변경 사항 저장(Save changes)을 선택합니다.

이제 시스템은 주제에 추가하는 이벤트 유형이 발생할 때 Amazon SNS 주제에 알림을 보냅니다.

중요

AWS Key Management Service(AWS KMS) 서버 측 암호화 키를 사용하여 Amazon SNS 주제를 구성하는 경우에는 태스크 3을 완료해야 합니다.

태스크 3: (옵션) AWS Key Management Service 액세스 정책 업데이트

Amazon SNS 주제에 대해 AWS Key Management Service(AWS KMS) 서버 측 암호화를 설정한 경우 주제를 구성할 때 선택한 AWS KMS key의 액세스 정책도 업데이트해야 합니다. 다음 절차에 따라 Systems Manager가 태스크 1에서 생성한 Amazon SNS 주제에 Change Manager 승인 알림을 게시할 수 있도록 액세스 정책을 업데이트합니다.

  1. AWS KMS 콘솔(https://console.aws.amazon.com/kms)을 엽니다.

  2. 탐색 창에서 고객 관리형 키를 선택합니다.

  3. 주제를 생성할 때 선택한 고객 관리형 키의 ID를 선택합니다.

  4. 키 정책(Key policy) 섹션에서 정책 보기로 전환(Switch to policy view)을 선택합니다.

  5. 편집을 선택합니다.

  6. 기존 정책의 기존 Sid 블록 중 하나의 뒤에 다음 Sid 블록을 입력합니다. user input placeholder를 사용자의 정보로 바꿉니다.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. 이제 교차 서비스 혼동된 대리자 문제 방지를 도울 수 있도록 리소스 정책 내의 기존 Sid 블록 중 하나의 뒤에 다음 Sid 블록을 입력합니다.

    이 블록은 aws:SourceArnaws:SourceAccount 글로벌 조건 컨텍스트 키를 사용하여 Systems Manager가 리소스에 다른 서비스를 부여하는 권한을 제한합니다.

    user input placeholder를 사용자의 정보로 바꿉니다.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. 변경 사항 저장(Save changes)을 선택합니다.