Berechtigungen für Amazon SNS SNS-Themen - DevOps Amazon-Guru
Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurierenHinzufügen eines Amazon SNS SNS-Themas von einem anderen KontoAktualisierung Ihrer Amazon SNS SNS-Richtlinie mit einem Benachrichtigungskanal (empfohlen)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Amazon SNS SNS-Themen

Verwenden Sie die Informationen in diesem Thema nur, wenn Sie Amazon DevOps Guru so konfigurieren möchten, dass Benachrichtigungen an Amazon SNS SNS-Themen gesendet werden, die einem anderen AWS Konto gehören.

Damit DevOps Guru Benachrichtigungen an ein Amazon SNS SNS-Thema senden kann, das einem anderen Konto gehört, müssen Sie dem Amazon SNS SNS-Thema eine Richtlinie beifügen, die DevOps Guru die Erlaubnis erteilt, Benachrichtigungen an dieses Konto zu senden. Wenn Sie DevOps Guru so konfigurieren, dass Benachrichtigungen an Amazon SNS SNS-Themen gesendet werden, die demselben Konto gehören, das Sie für DevOps Guru verwenden, fügt DevOps Guru den Themen eine Richtlinie für Sie hinzu.

Nachdem Sie eine Richtlinie zur Konfiguration von Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto angehängt haben, können Sie das Amazon SNS SNS-Thema in DevOps Guru hinzufügen. Sie können Ihre Amazon SNS SNS-Richtlinie auch mit einem Benachrichtigungskanal aktualisieren, um sie sicherer zu machen.

Anmerkung

DevOpsGuru unterstützt derzeit nur kontoübergreifenden Zugriff in derselben Region.

Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurieren

Berechtigungen als IAM-Rolle hinzufügen

Um ein Amazon SNS SNS-Thema von einem anderen Konto aus zu verwenden, nachdem Sie sich mit einer IAM-Rolle angemeldet haben, müssen Sie eine Richtlinie an das Amazon SNS SNS-Thema anhängen, das Sie verwenden möchten. Um eine Richtlinie von einem anderen Konto an ein Amazon SNS SNS-Thema anzuhängen und gleichzeitig eine IAM-Rolle zu verwenden, benötigen Sie im Rahmen Ihrer IAM-Rolle die folgenden Berechtigungen für diese Kontoressource:

  • SNS: CreateTopic

  • sns: GetTopicAttributes

  • sns: SetTopicAttributes

  • sns:Publish

Hängen Sie die folgende Richtlinie an das Amazon SNS SNS-Thema an, das Sie verwenden möchten. Bei dem Resource Schlüssel topic-owner-account-id handelt es sich um die Konto-ID des Eigentümers des Themas, topic-sender-account-id um die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und devops-guru-role um die IAM-Rolle des jeweiligen Benutzers. Sie müssen region-id (z. B.us-west-2) und my-topic-name durch entsprechende Werte ersetzen. 


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:role/devops-guru-role"]
             }
         }
     ]
 }

Berechtigungen als IAM-Benutzer hinzufügen

Um ein Amazon SNS SNS-Thema von einem anderen Konto als IAM-Benutzer zu verwenden, fügen Sie dem Amazon SNS SNS-Thema, das Sie verwenden möchten, die folgende Richtlinie bei. Bei dem Resource Schlüssel topic-owner-account-id handelt es sich um die Konto-ID des Eigentümers des Themas, topic-sender-account-id um die Konto-ID des Benutzers, der DevOps Guru eingerichtet hat, und devops-guru-user-name um den betreffenden individuellen IAM-Benutzer. Sie müssen region-id (z. B.us-west-2) und my-topic-name durch entsprechende Werte ersetzen.

Anmerkung

Wenn möglich, empfehlen wir, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben. Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"]
             }
         }
     ]
 }

Hinzufügen eines Amazon SNS SNS-Themas von einem anderen Konto

Nachdem Sie die Berechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfiguriert haben, können Sie dieses Amazon SNS SNS-Thema zu Ihren DevOps Guru-Benachrichtigungseinstellungen hinzufügen. Sie können das Amazon SNS SNS-Thema über die AWS CLI oder die DevOps Guru-Konsole hinzufügen.

  • Wenn Sie die Konsole verwenden, müssen Sie die Option SNS-Themen-ARN verwenden auswählen, um ein vorhandenes Thema anzugeben, um ein Thema aus einem anderen Konto verwenden zu können.

  • Wenn Sie die AWS CLI Operation verwenden add-notification-channel, müssen Sie die TopicArn innerhalb des NotificationChannelConfig Objekts angeben.

Fügen Sie mithilfe der Konsole ein Amazon SNS SNS-Thema von einem anderen Konto hinzu

  1. Öffnen Sie die Amazon DevOps Guru-Konsole unter https://console.aws.amazon.com/devops-guru/.

  2. Öffnen Sie den Navigationsbereich und wählen Sie dann Einstellungen.

  3. Gehen Sie zum Abschnitt Benachrichtigungen und wählen Sie Bearbeiten.

  4. Wählen Sie „SNS-Thema hinzufügen“.

  5. Wählen Sie SNS-Themen-ARN verwenden, um ein vorhandenes Thema anzugeben.

  6. Geben Sie den ARN des Amazon SNS SNS-Themas ein, das Sie verwenden möchten. Sie sollten bereits Berechtigungen für dieses Thema konfiguriert haben, indem Sie dem Thema eine Richtlinie beifügen.

  7. (Optional) Wählen Sie „Benachrichtigungskonfiguration“, um die Einstellungen für die Benachrichtigungshäufigkeit zu bearbeiten.

  8. Wählen Sie Save (Speichern) aus.

Nachdem Sie das Amazon SNS SNS-Thema zu Ihren Benachrichtigungseinstellungen hinzugefügt haben, verwendet DevOps Guru dieses Thema, um Sie über wichtige Ereignisse zu informieren, z. B. wenn ein neuer Einblick erstellt wird.

Aktualisierung Ihrer Amazon SNS SNS-Richtlinie mit einem Benachrichtigungskanal (empfohlen)

Nachdem Sie ein Thema hinzugefügt haben, empfehlen wir Ihnen, Ihre Richtlinie sicherer zu gestalten, indem Sie Berechtigungen nur für den DevOps Guru-Benachrichtigungskanal angeben, der Ihr Thema enthält.

Aktualisieren Sie Ihre Amazon SNS SNS-Themenrichtlinie mit einem Benachrichtigungskanal (empfohlen)

  1. Führen Sie den list-notification-channels DevOps AWS CLI Guru-Befehl in Ihrem Konto aus, von dem aus Sie Benachrichtigungen senden möchten.

    aws devops-guru list-notification-channels

  2. Notieren Sie sich in der list-notification-channels Antwort die Kanal-ID, die den ARN Ihres Amazon SNS SNS-Themas enthält. Die Kanal-ID ist eine GUID.

    In der folgenden Antwort arn:aws:sns:region-id:111122223333:topic-name lautet die Kanal-ID für das Thema mit dem ARN beispielsweise e89be5f7-989d-4c4c-b1fe-e7145037e531

    {
  "Channels": [
    {
      "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
      "Config": {
      "Sns": {
          "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
        },
      "Filters": {
          "MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
          "Severities": ["HIGH", "MEDIUM"]
        }
      }
    }
  ]
}

  3. Gehen Sie zu der Richtlinie, die Sie in einem anderen Konto mit der Themen-Eigentümer-ID in erstellt habenBerechtigungen für ein Amazon SNS SNS-Thema in einem anderen Konto konfigurieren. Fügen Sie in der Condition Erklärung der Richtlinie die Zeile hinzu, die den angibtSourceArn. Der ARN enthält Ihre Region-ID (z. B.us-east-1), die AWS Kontonummer des Absenders des Themas und die Kanal-ID, die Sie sich notiert haben.

    Ihr aktualisierter Condition Kontoauszug sieht wie folgt aus.

    "Condition" : {
  "StringEquals" : {
    "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
    "AWS:SourceAccount": "111122223333"
   } 
 }

Wenn AddNotificationChannel Sie Ihr SNS-Thema nicht hinzufügen können, überprüfen Sie, ob Ihre IAM-Richtlinie über die folgenden Berechtigungen verfügt.

{
     "Version": "2012-10-17",
     "Statement": [{
           "Sid": "DevOpsGuruTopicPermissions",
           "Effect": "Allow",
           "Action": [
                 "sns:CreateTopic",
                 "sns:GetTopicAttributes",
                 "sns:SetTopicAttributes",
                 "sns:Publish"
           ],
           "Resource": "arn:aws:sns:region-id:account-id:my-topic-name"
     }]
}