Konfiguration von Amazon SNS SNS-Themen für Change Manager Benachrichtigungen - AWS Systems Manager
Aufgabe 1: Erstellen und Abonnieren eines Amazon SNS-ThemasAufgabe 2: Aktualisieren der Amazon SNS-ZugriffsrichtlinieAufgabe 3: (Optional) Aktualisieren Sie die Zugriffsrichtlinie AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Amazon SNS SNS-Themen für Change Manager Benachrichtigungen

Sie können konfigurieren Change Manager, ein Tool in AWS Systems Manager, um Benachrichtigungen an ein Amazon Simple Notification Service (Amazon SNS) -Thema für Ereignisse im Zusammenhang mit Änderungsanträgen und Änderungsvorlagen zu senden. Führen Sie die folgenden Aufgaben aus, um Benachrichtigungen zu erhalten für Change Manager Ereignisse, zu denen Sie ein Thema hinzufügen.

Aufgabe 1: Erstellen und Abonnieren eines Amazon SNS-Themas

Zunächst müssen Sie ein Amazon SNS-Thema erstellen und abonnieren. Weitere Informationen finden Sie unter Erstellen eines Amazon-SNS-Themas und Abonnieren eines Amazon-SNS-Themas im Entwicklerhandbuch zu Amazon Simple Notification Service.

Anmerkung

Um Benachrichtigungen zu erhalten, müssen Sie den Amazon-Ressourcennamen (ARN) eines Amazon SNS-Themas angeben, das sich im selben AWS-Region und AWS-Konto wie das delegierte Administratorkonto befindet.

Aufgabe 2: Aktualisieren der Amazon SNS-Zugriffsrichtlinie

Gehen Sie wie folgt vor, um die Amazon SNS SNS-Zugriffsrichtlinie zu aktualisieren, sodass Systems Manager veröffentlichen kann Change Manager Benachrichtigungen zu dem Amazon SNS SNS-Thema, das Sie in Aufgabe 1 erstellt haben. Ohne diese Aufgabe abzuschließen, Change Manager ist nicht berechtigt, Benachrichtigungen für die Ereignisse zu senden, für die Sie das Thema hinzugefügt haben.

  1. Melden Sie sich bei https://console.aws.amazon.com/sns/v3/home an AWS Management Console und öffnen Sie die Amazon SNS SNS-Konsole.

  2. Wählen Sie im Navigationsbereich Themen aus.

  3. Wählen Sie das Thema aus, das Sie in Aufgabe 1 erstellt haben und klicken Sie dann auf Edit (Bearbeiten).

  4. Erweitern Sie die Option Zugriffsrichtlinie.

  5. Fügen Sie den folgenden Sid Block zur bestehenden Richtlinie hinzu, aktualisieren Sie ihn und ersetzen Sie jeden Block durch Ihre user input placeholder eigenen Informationen.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Geben Sie diesen Block nach dem vorhandenen Sid Block ein und ersetzen Sie regionaccount-id, und topic-name durch die entsprechenden Werte für das von Ihnen erstellte Thema.

  6. Wählen Sie Änderungen speichern.

Das System sendet jetzt Benachrichtigungen an das Amazon SNS-Thema, wenn der Ereignistyp auftritt, den Sie dem Thema hinzufügen.

Wichtig

Wenn Sie das Amazon SNS SNS-Thema mit einem serverseitigen Verschlüsselungsschlüssel AWS Key Management Service (AWS KMS) konfiguriert haben, müssen Sie Aufgabe 3 abschließen.

Aufgabe 3: (Optional) Aktualisieren Sie die Zugriffsrichtlinie AWS Key Management Service

Wenn Sie die serverseitige Verschlüsselung AWS Key Management Service (AWS KMS) für Ihr Amazon SNS SNS-Thema aktiviert haben, müssen Sie auch die Zugriffsrichtlinie des Themas aktualisieren, das AWS KMS key Sie bei der Konfiguration des Themas ausgewählt haben. Gehen Sie wie folgt vor, um die Zugriffsrichtlinie zu aktualisieren, sodass Systems Manager veröffentlichen kann. Change Manager Genehmigungsbenachrichtigungen für das Amazon SNS SNS-Thema, das Sie in Aufgabe 1 erstellt haben.

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  3. Wählen Sie die ID des Kundenmasterschlüssels aus, den Sie bei der Erstellung des Themas ausgewählt haben.

  4. Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  5. Wählen Sie Edit (Bearbeiten) aus.

  6. Geben Sie den folgenden Sid-Block nach einem der vorhandenen Sid-Blöcke in die vorhandene Richtlinie ein. Ersetzen Sie jeden user input placeholder durch Ihre Informationen.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Geben Sie nun den folgenden Sid-Block nach einem der vorhandenen Sid-Blöcke in die Ressourcenrichtlinie ein, um zu verhindern, dass das Problem des dienstübergreifenden verwirrten Stellvertreters auftritt.

    Dieser Block verwendet die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount, um die Berechtigungen einzuschränken, die Systems Manager der Ressource einem anderen Dienst erteilt.

    Ersetzen Sie jeden user input placeholder durch Ihre Informationen.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Wählen Sie Änderungen speichern.