Notificações de conformidade pelo SNS na conta de auditoria - AWS Control Tower
A política AWS Config de tópicos do SNS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Notificações de conformidade pelo SNS na conta de auditoria

Para receber notificações de alteração de conformidade por e-mail enviadas à sua conta de auditoria, assine este tópico do Amazon SNS:

arn:aws:sns:AWSRegion:AuditAccount:aws-controltower-AggregateSecurityNotifications

Ao se inscrever, substitua sua região de origem real do AWS Control Tower e as informações da conta de auditoria pelo nome do tópico exibido. Você pode se inscrever em tópicos do SNS que recebem notificações sobre cada AWS região suportada na qual você executa o AWS Control Tower.

Tópicos e notificações do SNS que você pode receber

  • O aws-controltower-AllConfigNotifications tópico:

    Ele recebe notificações AWS Config sobre conformidade, não conformidade e mudança. Ele também recebe uma notificação da AWS CloudTrail entrega do arquivo de log.

  • O aws-controltower-SecurityNotifications tópico:

    Um desses tópicos existe para cada AWS região suportada. Ele recebe notificações de conformidade, não conformidade e alteração do AWS Config nessa região. Ele encaminha todas as notificações recebidas para aws-controltower-AggregateSecurityNotifications

  • O aws-controltower-AggregateSecurityNotifications tópico:

    Esse tópico existe em cada AWS região suportada. Ele recebe notificações de alteração de conformidade dos tópicos específicos da regiãoaws-controltower-SecurityNotifications. Além disso, na região de origem, ele também recebe notificações de deriva.

Outras considerações sobre tópicos do SNS:

  • Todos esses tópicos existem e recebem notificações na conta de auditoria.

  • Por padrão, o endereço de e-mail da conta de auditoria está inscrito no tópico aws-controltower-AggregateSecurityNotifications SNS.

  • Os tópicos do SNS no AWS Control Tower são extremamente barulhentos, por definição. Por exemplo, AWS Config envia uma notificação sempre que AWS Config descobre um novo recurso.

  • Os administradores que desejam filtrar tipos específicos de notificações de um tópico do SNS podem criar uma AWS Lambda função e inscrevê-la no tópico do SNS. Como alternativa, você pode configurar uma EventBridge regra para filtrar notificações, conforme descrito neste artigo de suporte, Como posso ser notificado quando um AWS recurso não está em conformidade usando o Config AWS?

  • AWS As notificações de configuração contêm um objeto JSON.

  • As notificações de deriva do AWS Control Tower aparecem em texto simples.

A política AWS Config de tópicos do SNS

A política de tópicos do AWS Config SNS contém a chave de aws:SourceOrgID condição. A política é mostrada no exemplo a seguir.

 SNSAllConfigurationTopicPolicy:
    Type: AWS::SNS::TopicPolicy
    Properties:
      Topics:
        - !Ref SNSAllConfigurationTopic
      PolicyDocument:
        Statement:
          - Sid: AWSSNSPolicy
            Action:
              - sns:Publish
            Effect: Allow
            Resource: !Ref SNSAllConfigurationTopic
            Principal:
              Service:
                - cloudtrail.amazonaws.com
                - config.amazonaws.com            
            Condition:
              StringEquals:
                aws:SourceOrgID: !Ref OrganizationId