As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para o tópico do Amazon SNS
Este tópico descreve como configurar AWS Config para entregar tópicos do Amazon SNS pertencentes a uma conta diferente. AWS Config deve ter as permissões necessárias para enviar notificações para um tópico do Amazon SNS. Para configurar a mesma conta, quando o AWS Config console cria um tópico do Amazon SNS ou você escolhe um tópico do Amazon SNS da sua própria conta AWS Config , certifique-se de que o tópico do Amazon SNS inclua as permissões necessárias e siga as melhores práticas de segurança.
nota
AWS Config atualmente oferece suporte somente ao acesso na mesma região e em todas as contas. Os tópicos do SNS usados para documentos de remediação AWS Systems Manager (SSM) ou para o canal de entrega do gravador não podem ser entre regiões.
Sumário
Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis do IAM
Você pode associar uma política de permissões ao tópico do SNS de propriedade de uma conta diferente. Se você deseja usar um tópico do SNS de outra conta, anexe a política a seguir a um tópico existente do SNS.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Na chave Resource, account-id é o número da conta da AWS
do proprietário do tópico. Para account-id1, account-id2 e account-id3, use as contas da AWS que enviarão dados para um tópico do SNS. Você pode substituir os valores adequados para region e myTopic.
Quando AWS Config envia uma notificação para um tópico do Amazon SNS, ele primeiro tenta usar a função do IAM, mas essa tentativa falha se a função ou a AWS conta não tiver permissão para publicar no tópico. Nesse caso, AWS Config envia a notificação novamente, desta vez como um nome principal AWS Config de serviço (SPN). Para a publicação ser bem-sucedida, a política de acesso para o tópico deve conceder acesso sns:Publish ao nome de entidade principal config.amazonaws.com. Você deve anexar uma política de acesso, descrita na próxima seção, ao tópico do Amazon SNS para conceder ao AWS Config acesso ao tópico do SNS se o perfil do IAM não tiver permissão para publicar no tópico.
Permissões obrigatórias para o tópico do Amazon SNS ao usar perfis vinculados ao serviço
A função AWS Config vinculada ao serviço não tem permissão para acessar o tópico do Amazon SNS. Portanto, se você configurar AWS Config usando uma função vinculada ao serviço (SLR), AWS Config enviará informações como principal do AWS Config serviço. Você precisará anexar uma política de acesso, mencionada abaixo, ao tópico do Amazon SNS para conceder AWS Config acesso e enviar informações ao tópico do Amazon SNS.
Para a configuração da mesma conta, quando o tópico do Amazon SNS e o SLR estão na mesma conta e a política do Amazon SNS concede ao SLR a permissão “sns:Publish”, você não precisa usar o SPN do AWS Config
. A política de permissões abaixo e as práticas recomendadas de segurança são para configuração entre contas.
Concedendo AWS Config acesso ao tópico do Amazon SNS.
Essa política permite AWS Config enviar uma notificação para um tópico do Amazon SNS. Para conceder AWS Config acesso ao tópico do Amazon SNS a partir de outra conta, você precisará anexar a seguinte política de permissões.
nota
Como prática recomendada de segurança, é altamente recomendável garantir AWS Config o acesso aos recursos em nome dos usuários esperados apenas restringindo o acesso às contas listadas na AWS:SourceAccount condição.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Na chave Resource, account-id é o número da conta da AWS
do proprietário do tópico. Para account-id1, account-id2 e account-id3, use as contas da AWS que enviarão dados para um tópico do SNS. Você pode substituir os valores adequados para region e myTopic.
Você pode usar a AWS:SourceAccount condição na política de tópico anterior do Amazon SNS para restringir o nome principal do AWS Config serviço (SPN) para interagir somente com o tópico do Amazon SNS ao realizar operações em nome de contas específicas.
AWS Config também suporta a AWS:SourceArn condição que restringe o nome principal do AWS Config
serviço (SPN) para interagir somente com o bucket do S3 ao realizar operações em nome de canais de entrega específicos AWS Config . Ao usar o nome principal do AWS Config serviço (SPN), a AWS:SourceArn propriedade sempre será definida como arn:aws:config:sourceRegion:sourceAccountID:* onde sourceRegion está a região do canal de entrega e sourceAccountID é a ID da conta que contém o canal de entrega. Para obter mais informações sobre canais AWS Config de entrega, consulte Gerenciando o canal de entrega. Por exemplo, adicione a condição a seguir para restringir o nome principal do AWS Config serviço (SPN) a interagir com seu bucket do S3 somente em nome de um canal de entrega na us-east-1 região da conta123456789012:. "ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
Solução de problemas para um tópico do Amazon SNS
AWS Config deve ter permissões para enviar notificações para um tópico do Amazon SNS. Se um tópico do Amazon SNS não puder receber notificações, verifique se a função do IAM que AWS Config estava assumindo tem as permissões necessárias. sns:Publish
