Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para el SNS tema Amazon
En este tema se describe cómo configurar AWS Config para entregar SNS temas de Amazon que pertenezcan a una cuenta diferente. AWS Config debe tener los permisos necesarios para enviar notificaciones a un SNS tema de Amazon. Para configurar la misma cuenta, cuando el AWS Config console crea un SNS tema de Amazon o tú eliges un SNS tema de Amazon de tu propia cuenta, AWS Config se asegura de que el SNS tema de Amazon incluya los permisos necesarios y siga las prácticas recomendadas de seguridad.
nota
AWS Config actualmente solo admite el acceso en la misma región y entre cuentas. SNStemas utilizados para la corrección AWS Systems Manager (SSM) los documentos o el canal de entrega de la grabadora no pueden estar entre regiones.
Contenido
Permisos necesarios para el SNS tema de Amazon al utilizar IAM roles
Puedes adjuntar una política de permisos al SNS tema de Amazon que sea propiedad de otra cuenta. Si quieres usar un SNS tema de Amazon de otra cuenta, asegúrate de adjuntar la siguiente política al SNS tema de Amazon existente.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Para la Resource clave, account-id es el AWS
número de cuenta del propietario del tema. En account-id1,
account-id2, y account-id3, usa el Cuentas de AWS que enviará datos a un SNS tema de Amazon. Puede sustituir los valores adecuados por region y myTopic.
Cuando AWS Config envía una notificación a un SNS tema de Amazon, primero intenta usar el IAM rol, pero este intento falla si el rol o Cuenta de AWS no tiene permiso para publicar en el tema. En este caso, AWS Config vuelve a enviar la notificación, esta vez como AWS Config nombre principal del servicio (SPN). Para que la entrega se realice correctamente, la política de acceso del tema debe conceder a sns:Publish acceso al nombre de la entidad principal de config.amazonaws.com. Debes adjuntar una política de acceso, que se describe en la siguiente sección, al SNS tema de Amazon para conceder AWS Config acceso al SNS tema de Amazon si el IAM rol no tiene permiso para publicar en el tema.
Permisos necesarios para el SNS tema de Amazon al utilizar roles vinculados a servicios
La AWS Config el rol vinculado a un servicio no tiene permiso para acceder al tema de AmazonSNS. Entonces, si configuras AWS Config utilizando un rol vinculado a un servicio ()SLR, AWS Config enviará información como AWS Config en su lugar, el director de servicio. Deberás adjuntar una política de acceso, que se menciona a continuación, al SNS tema de Amazon para conceder AWS Config acceso para enviar información al SNS tema de Amazon.
Para configurar la misma cuenta, si el SNS tema de Amazon y SLR están en la misma cuenta y la SNS política de Amazon concede el permiso SLR sns:Publish «», no necesitas usar el AWS Config
SPN. La siguiente política de permisos y las prácticas recomendadas de seguridad se refieren a la configuración en varias cuentas.
Concesión AWS Config acceso al SNS tema de Amazon.
Esta política permite AWS Config para enviar una notificación a un SNS tema de Amazon. Para conceder AWS Config para acceder al SNS tema de Amazon desde otra cuenta, tendrás que adjuntar la siguiente política de permisos.
nota
Como práctica recomendada de seguridad, se recomienda encarecidamente asegurarse AWS Config está accediendo a los recursos en nombre de los usuarios esperados únicamente restringiendo el acceso a las cuentas que figuran en AWS:SourceAccount ese estado.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Para la Resource clave, account-id es el AWS
número de cuenta del propietario del tema. En account-id1,
account-id2, y account-id3, usa el Cuentas de AWS que enviará datos a un SNS tema de Amazon. Puede sustituir los valores adecuados por region y myTopic.
Puedes usar la AWS:SourceAccount condición de la política de SNS temas anterior de Amazon para restringir la AWS Config nombre principal del servicio (SPN) para interactuar únicamente con el SNS tema de Amazon al realizar operaciones en nombre de cuentas específicas.
AWS Config también admite la AWS:SourceArn condición que restringe la AWS Config
nombre principal del servicio (SPN) para interactuar únicamente con el bucket de S3 cuando se realizan operaciones en nombre de una persona específica AWS Config canales de entrega. Al usar el AWS Config el nombre principal del servicio (SPN), la AWS:SourceArn propiedad siempre se establecerá arn:aws:config:sourceRegion:sourceAccountID:* en sourceRegion la región del canal de entrega y sourceAccountID en el identificador de la cuenta que contiene el canal de entrega. Para obtener más información acerca de AWS Config canales de entrega, consulte Administración del canal de entrega. Por ejemplo, añada la siguiente condición para restringir la AWS Config nombre principal del servicio (SPN) para interactuar con su bucket de S3 únicamente en nombre de un canal de entrega de la us-east-1 región de la cuenta123456789012:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Solución de problemas para el SNS tema Amazon
AWS Config debe tener permisos para enviar notificaciones a un SNS tema de Amazon. Si un SNS tema de Amazon no puede recibir notificaciones, compruebe que el IAM rol que AWS Config estaba asumiendo que tiene los sns:Publish permisos necesarios.
