Configurar os tópicos do Amazon SNS para as notificações do Change Manager

Tarefa 1: Criar e assinar um tópico do Amazon SNS Tarefa 2: Atualizar a política de acesso do Amazon SNS Tarefa 3: Atualizar a política de acesso do AWS Key Management Service (opcional)

Você pode configurar o Change Manager, um recurso do AWS Systems Manager, para enviar notificações a um tópico do Amazon Simple Notification Service (Amazon SNS) para eventos relacionados a solicitações e modelos de alteração. Conclua as tarefas a seguir para receber notificações dos eventos do Change Manageraos quais você adiciona um tópico.

Tópicos

Tarefa 1: Criar e assinar um tópico do Amazon SNS
Tarefa 2: Atualizar a política de acesso do Amazon SNS
Tarefa 3: Atualizar a política de acesso do AWS Key Management Service (opcional)

Primeiro, crie e se inscreva em um tópico do Amazon SNS. Para obter informações, consulte Criar um tópico do Amazon SNS e Assinar tópico do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

nota

Para receber notificações, você deverá especificar o nome do recurso da Amazon (ARN) de um tópico do Amazon SNS que estiver na mesma Região da AWS e Conta da AWS que a conta do administrador delegado.

Use o procedimento a seguir para atualizar a política de acesso do Amazon SNS, para que o Systems Manager possa publicar notificações do Change Manager no tópico do Amazon SNS que você criou na tarefa 1. Sem concluir esta tarefa, o Change Manager não terá permissão para enviar notificações para os eventos aos quais você adicionou o tópico.

Faça login no AWS Management Console e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.
No painel de navegação, escolha Tópicos.
Selecione o tópico criado na tarefa 1 e escolha Edit (Editar).
Expanda Access policy (Política de acesso).

Adicione e atualize o seguinte bloco do Sid à política existente e substitua cada espaço reservado para entrada do usuário pelas suas próprias informações.


{
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

Insira esse bloco após o bloco Sid existente e substitua region, account-id e topic_name pelos valores apropriados para o tópico que você criou.

Escolha Salvar alterações.

O sistema agora envia notificações para o tópico do Amazon SNS quando o tipo de evento que você adicionar ao tópico ocorrer.

Importante

Se você configurou o tópico do Amazon SNS com uma chave de criptografia do AWS Key Management Service (AWS KMS) no lado do servidor, conclua a tarefa 3.

Se você ativou a criptografia do lado do servidor do AWS Key Management Service (AWS KMS) para seu tópico do Amazon SNS, atualize também a política de acesso da AWS KMS key escolhida ao configurar o tópico. Use o procedimento a seguir para atualizar a política de acesso, de forma que o Systems Manager possa publicar as notificações de aprovação do Change Manager no tópico do Amazon SNS que você criou na tarefa 1.

Abra o console do AWS KMS em https://console.aws.amazon.com/kms.
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
Selecione o ID da chave gerenciada do cliente que você escolheu ao criar o tópico.
Na seção Key Policy (Política de chaves), selecione Switch to policy view (Alternar para a visualização da política).
Selecione a opção Editar.

Insira o seguinte bloco Sid após um dos blocos Sid existentes na política existente. Substitua cada espaço reservado para entrada do usuário por suas próprias informações.


{
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

Insira o seguinte bloco Sid após um dos blocos Sid existentes na política de recursos para ajudar a evitar o problema confused deputy entre serviços.

Esse bloco usa as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount com o objetivo de limitar as permissões concedidas pelo Systems Manager para outro serviço ao recurso.

Substitua cada espaço reservado para entrada do usuário por suas próprias informações.


{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

Escolha Salvar alterações.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar as opções e práticas recomendadas do Change Manager

Configurar perfis e permissões para o Change Manager