SNSAmazon-Themenrichtlinie für CloudTrail

Um Benachrichtigungen zu einem SNS Thema zu senden, CloudTrail müssen Sie über die erforderlichen Berechtigungen verfügen. CloudTrailordnet dem Thema automatisch die erforderlichen Berechtigungen zu, wenn Sie im Rahmen der Erstellung oder Aktualisierung eines Trails in der CloudTrail Konsole ein SNS Amazon-Thema erstellen.

CloudTrail fügt der Richtlinie für Sie die folgende Erklärung mit den folgenden Feldern hinzu:

Die folgende Richtlinie ermöglicht CloudTrail das Senden von Benachrichtigungen über die Übermittlung von Protokolldateien aus unterstützten Regionen. Weitere Informationen finden Sie unter CloudTrail unterstützte Regionen. Dies ist die Standardrichtlinie, die an eine neue oder bestehende SNS Themenrichtlinie angehängt wird, wenn Sie einen Trail erstellen oder aktualisieren und SNS Benachrichtigungen aktivieren.

SNSThemenrichtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailSNSPolicy20131101",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName"
        }
    ]
}

Um ein AWS KMS-verschlüsseltes SNS Amazon-Thema zum Senden von Benachrichtigungen zu verwenden, müssen Sie auch die Kompatibilität zwischen der Ereignisquelle (CloudTrail) und dem verschlüsselten Thema aktivieren, indem Sie die folgende Erklärung zur Richtlinie von hinzufügen. AWS KMS key

KMSwichtige Richtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen finden Sie unter Aktivieren der Kompatibilität zwischen Ereignisquellen aus AWS Diensten und verschlüsselten Themen.

Bewährte Sicherheitspraxis für SNS Themenrichtlinien

Standardmäßig erlaubt die IAM Richtlinienerklärung, die Ihrem CloudTrail SNS Amazon-Thema beigefügt ist, dem CloudTrail Service Principal, zu einem SNS Thema zu veröffentlichen, das durch einen ARN gekennzeichnet ist. Um zu verhindern, dass sich ein Angreifer Zugriff auf Ihr SNS Thema verschafft und Benachrichtigungen im Namen der CloudTrail Themenempfänger sendet, bearbeiten Sie Ihre CloudTrail SNS Themenrichtlinie manuell und fügen Sie der von CloudTrail angehängten Richtlinienerklärung einen aws:SourceArn Bedingungsschlüssel hinzu. Der Wert dieses ARN Schlüssels entspricht dem Pfad oder einer Reihe von PfadenARNs, die das SNS Thema verwenden. Da er sowohl die spezifische Trail-ID als auch die ID des Accounts enthält, dem der Trail gehört, beschränkt er den SNS Themenzugriff auf die Accounts, die zur Verwaltung des Trails berechtigt sind. Bevor Sie Bedingungsschlüssel zu Ihrer SNS Themenrichtlinie hinzufügen, sollten Sie den SNS Themennamen aus den Einstellungen Ihres Trails in der CloudTrail Konsole abrufen.

Der aws:SourceAccount-Bedingungsschlüssel wird ebenfalls unterstützt, aber nicht empfohlen.

Angeben eines vorhandenen Themas zum Senden von Benachrichtigungen

Sie können die Berechtigungen für ein SNS Amazon-Thema manuell zu Ihrer Themenrichtlinie in der SNS Amazon-Konsole hinzufügen und dann das Thema in der CloudTrail Konsole angeben.

Problembehandlung bei der SNS Themenrichtlinie

In den folgenden Abschnitten wird beschrieben, wie Sie Probleme mit der SNS Themenrichtlinie beheben können.

CloudTrail sendet keine Benachrichtigungen für eine Region

Wenn Sie im Rahmen der Erstellung oder Aktualisierung eines Trails ein neues Thema erstellen, CloudTrail fügt Ihrem Thema die erforderlichen Berechtigungen hinzu. Die Themenrichtlinie verwendet den Dienstprinzipalnamen"cloudtrail.amazonaws.com", der das Senden von Benachrichtigungen für alle Regionen ermöglicht CloudTrail .

Wenn keine Benachrichtigungen für eine Region gesendet werden, CloudTrail ist es möglich, dass für Ihr Thema eine ältere Richtlinie gilt, die ein CloudTrail Konto IDs für jede Region festlegt. Diese Richtlinie CloudTrail erlaubt das Senden von Benachrichtigungen nur für die angegebenen Regionen.

Die folgende Themenrichtlinie ermöglicht CloudTrail das Senden von Benachrichtigungen nur für die angegebenen neun Regionen:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AWSCloudTrailSNSPolicy20131101",
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::903692715234:root",
            "arn:aws:iam::035351147821:root",
            "arn:aws:iam::859597730677:root",
            "arn:aws:iam::814480443879:root",
            "arn:aws:iam::216624486486:root",
            "arn:aws:iam::086441151436:root",
            "arn:aws:iam::388731089494:root",
            "arn:aws:iam::284668455005:root",
            "arn:aws:iam::113285607260:root"
        ]},
        "Action": "SNS:Publish",
        "Resource": "aws:arn:sns:us-east-1:123456789012:myTopic"
    }]
}

Diese Richtlinie verwendet eine Genehmigung, die auf einem individuellen CloudTrail Konto basiertIDs. Um Protokolle für eine neue Region bereitzustellen, müssen Sie die Richtlinie manuell aktualisieren, sodass sie die CloudTrail Konto-ID für diese Region enthält. Da beispielsweise Unterstützung für die Region USA Ost (Ohio) CloudTrail hinzugefügt wurde, müssen Sie die Richtlinie aktualisieren, um die Konto-ID ARN für diese Region hinzuzufügen:"arn:aws:iam::475085895292:root".

Es hat sich bewährt, die Richtlinie so zu aktualisieren, dass sie eine Genehmigung mit dem CloudTrail Service Principal verwendet. Ersetzen Sie dazu die Konto-ID ARNs durch den Namen des Dienstprinzipals:"cloudtrail.amazonaws.com".

Dadurch erhalten Sie die CloudTrail Erlaubnis, Benachrichtigungen für aktuelle und neue Regionen zu senden. Im Folgenden finden Sie eine aktualisierte Version der vorherigen Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AWSCloudTrailSNSPolicy20131101",
        "Effect": "Allow",
        "Principal": {"Service": "cloudtrail.amazonaws.com"},
        "Action": "SNS:Publish",
        "Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
    }]
}

Überprüfen Sie, ob die Richtlinie die richtigen Werte enthält:

CloudTrail sendet keine Benachrichtigungen für ein Mitgliedskonto in einer Organisation

Wenn ein Mitgliedskonto mit einem AWS Organizations Organization Trail keine SNS Amazon-Benachrichtigungen sendet, liegt möglicherweise ein Problem mit der Konfiguration der SNS Themenrichtlinie vor. CloudTrail erstellt Organisationstrails in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt, z. B. weil das SNS Thema des Organisationstrails nicht alle Mitgliedskonten umfasstIDs. Wenn die SNS Themenrichtlinie falsch ist, tritt ein Autorisierungsfehler auf.

Um zu überprüfen, ob die SNS Themenrichtlinie eines Trails einen Autorisierungsfehler aufweist:

Weitere Ressourcen

Weitere Informationen zu SNS Themen und deren Abonnement finden Sie im Amazon Simple Notification Service Developer Guide.