Berechtigungen für SNS Amazon-Themen - DevOps Amazon-Guru
Berechtigungen für ein SNS Amazon-Thema in einem anderen Konto konfigurierenEin SNS Amazon-Thema von einem anderen Konto hinzufügenAktualisierung Ihrer SNS Amazon-Richtlinie mit einem Benachrichtigungskanal (empfohlen)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für SNS Amazon-Themen

Verwenden Sie die Informationen in diesem Thema nur, wenn Sie Amazon DevOps Guru so konfigurieren möchten, dass Benachrichtigungen an SNS Amazon-Themen gesendet werden, die einem anderen AWS Konto gehören.

Damit DevOps Guru Benachrichtigungen an ein SNS Amazon-Thema senden kann, das einem anderen Konto gehört, müssen Sie dem SNS Amazon-Thema eine Richtlinie beifügen, die DevOps Guru die Erlaubnis erteilt, Benachrichtigungen an dieses Thema zu senden. Wenn Sie DevOps Guru so konfigurieren, dass Benachrichtigungen zu SNS Amazon-Themen gesendet werden, die demselben Konto gehören, das Sie für DevOps Guru verwenden, fügt DevOps Guru den Themen eine Richtlinie für Sie hinzu.

Nachdem Sie eine Richtlinie zur Konfiguration von Berechtigungen für ein SNS Amazon-Thema in einem anderen Konto angehängt haben, können Sie das SNS Amazon-Thema in DevOps Guru hinzufügen. Sie können Ihre SNS Amazon-Richtlinie auch mit einem Benachrichtigungskanal aktualisieren, um sie sicherer zu machen.

Anmerkung

DevOpsGuru unterstützt derzeit nur kontoübergreifenden Zugriff in derselben Region.

Berechtigungen für ein SNS Amazon-Thema in einem anderen Konto konfigurieren

Berechtigungen als IAM Rolle hinzufügen

Um ein SNS Amazon-Thema von einem anderen Konto aus zu verwenden, nachdem Sie sich mit einer IAM Rolle angemeldet haben, müssen Sie dem SNS Amazon-Thema, das Sie verwenden möchten, eine Richtlinie anhängen. Um während der Nutzung einer IAM Rolle eine Richtlinie von einem anderen Konto an ein SNS Amazon-Thema anzuhängen, benötigen Sie im Rahmen Ihrer IAM Rolle die folgenden Berechtigungen für diese Kontoressource:

  • sns: CreateTopic

  • sns: GetTopicAttributes

  • sns: SetTopicAttributes

  • sns:Publish

Hängen Sie die folgende Richtlinie an das SNS Amazon-Thema an, das Sie verwenden möchten. Für den Resource Schlüssel topic-owner-account-id ist die Konto-ID des Eigentümers des Themas, topic-sender-account-id ist die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und devops-guru-role ist die IAM Rolle des einzelnen beteiligten Benutzers. Sie müssen entsprechende Werte für ersetzen region-id (zum Beispielus-west-2) und my-topic-name. 


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:role/devops-guru-role"]
             }
         }
     ]
 }

Hinzufügen von Berechtigungen als IAM Benutzer

Um als IAM Benutzer ein SNS Amazon-Thema von einem anderen Konto aus zu verwenden, fügen Sie dem SNS Amazon-Thema, das Sie verwenden möchten, die folgende Richtlinie bei. Für den Resource Schlüssel topic-owner-account-id ist die Konto-ID des Eigentümers des Themas, topic-sender-account-id ist die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und devops-guru-user-name ist der betroffene einzelne IAM Benutzer. Sie müssen entsprechende Werte für ersetzen region-id (zum Beispielus-west-2) und my-topic-name.

Anmerkung

Wenn möglich, empfehlen wir, temporäre Anmeldeinformationen zu verwenden, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen. Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"]
             }
         }
     ]
 }

Ein SNS Amazon-Thema von einem anderen Konto hinzufügen

Nachdem Sie die Berechtigungen für ein SNS Amazon-Thema in einem anderen Konto konfiguriert haben, können Sie dieses SNS Amazon-Thema zu Ihren DevOps Guru-Benachrichtigungseinstellungen hinzufügen. Sie können das SNS Amazon-Thema über die AWS CLI oder die DevOps Guru-Konsole hinzufügen.

  • Wenn Sie die Konsole verwenden, müssen Sie die Option Ein SNS Thema verwenden auswählen, ARN um ein vorhandenes Thema anzugeben, um ein Thema aus einem anderen Konto verwenden zu können.

  • Wenn Sie die AWS CLI Operation verwenden add-notification-channel, müssen Sie die TopicArn innerhalb des NotificationChannelConfig Objekts angeben.

Fügen Sie mithilfe der Konsole ein SNS Amazon-Thema aus einem anderen Konto hinzu

  1. Öffnen Sie die Amazon DevOps Guru-Konsole unter https://console.aws.amazon.com/devops-guru/.

  2. Öffnen Sie den Navigationsbereich und wählen Sie dann Einstellungen.

  3. Gehen Sie zum Abschnitt Benachrichtigungen und wählen Sie Bearbeiten.

  4. Wählen Sie SNS Thema hinzufügen.

  5. Wählen Sie SNSThema verwendenARN, um ein vorhandenes Thema anzugeben.

  6. Geben Sie das ARN SNS Amazon-Thema ein, das Sie verwenden möchten. Sie sollten bereits die Berechtigungen für dieses Thema konfiguriert haben, indem Sie dem Thema eine Richtlinie beifügen.

  7. (Optional) Wählen Sie „Benachrichtigungskonfiguration“, um die Einstellungen für die Benachrichtigungshäufigkeit zu bearbeiten.

  8. Wählen Sie Save (Speichern) aus.

Nachdem Sie das SNS Amazon-Thema zu Ihren Benachrichtigungseinstellungen hinzugefügt haben, verwendet DevOps Guru dieses Thema, um Sie über wichtige Ereignisse zu informieren, z. B. wenn ein neuer Einblick erstellt wird.

Aktualisierung Ihrer SNS Amazon-Richtlinie mit einem Benachrichtigungskanal (empfohlen)

Nachdem Sie ein Thema hinzugefügt haben, empfehlen wir Ihnen, Ihre Richtlinie sicherer zu gestalten, indem Sie Berechtigungen nur für den DevOps Guru-Benachrichtigungskanal angeben, der Ihr Thema enthält.

Aktualisieren Sie Ihre SNS Amazon-Themenrichtlinie mit einem Benachrichtigungskanal (empfohlen)

  1. Führen Sie den list-notification-channels DevOps AWS CLI Guru-Befehl in Ihrem Konto aus, von dem aus Sie Benachrichtigungen senden möchten.

    aws devops-guru list-notification-channels

  2. Notieren Sie sich in der list-notification-channels Antwort die Kanal-ID, die Ihre SNS Amazon-Themen enthältARN. Die Kanal-ID ist eine GUID.

    In der folgenden Antwort lautet die Kanal-ID für das Thema beispielsweise ARN arn:aws:sns:region-id:111122223333:topic-name e89be5f7-989d-4c4c-b1fe-e7145037e531

    {
  "Channels": [
    {
      "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
      "Config": {
      "Sns": {
          "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
        },
      "Filters": {
          "MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
          "Severities": ["HIGH", "MEDIUM"]
        }
      }
    }
  ]
}

  3. Gehen Sie zu der Richtlinie, die Sie in einem anderen Konto mit der Themen-Eigentümer-ID in erstellt habenBerechtigungen für ein SNS Amazon-Thema in einem anderen Konto konfigurieren. Fügen Sie in der Condition Erklärung der Richtlinie die Zeile hinzu, die den angibtSourceArn. Die ARN enthält Ihre Region-ID (z. B.us-east-1), die AWS Kontonummer des Absenders des Themas und die Kanal-ID, die Sie sich notiert haben.

    Ihr aktualisierter Condition Kontoauszug sieht wie folgt aus.

    "Condition" : {
  "StringEquals" : {
    "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
    "AWS:SourceAccount": "111122223333"
   } 
 }

Wenn AddNotificationChannel Sie Ihr SNS Thema nicht hinzufügen können, überprüfen Sie, ob Ihre IAM Richtlinie über die folgenden Berechtigungen verfügt.

{
     "Version": "2012-10-17",
     "Statement": [{
           "Sid": "DevOpsGuruTopicPermissions",
           "Effect": "Allow",
           "Action": [
                 "sns:CreateTopic",
                 "sns:GetTopicAttributes",
                 "sns:SetTopicAttributes",
                 "sns:Publish"
           ],
           "Resource": "arn:aws:sns:region-id:account-id:my-topic-name"
     }]
}