Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para SNS temas de Amazon
Utilice la información de este tema únicamente si desea configurar Amazon DevOps Guru para que envíe notificaciones a los SNS temas de Amazon que sean propiedad de otra AWS cuenta.
Para que DevOps Guru envíe notificaciones a un SNS tema de Amazon propiedad de otra cuenta, debes adjuntar una política al SNS tema de Amazon que otorgue a DevOps Guru permisos para enviarle notificaciones. Si configuras DevOps Guru para que envíe notificaciones a SNS los temas de Amazon que pertenecen a la misma cuenta que utilizas para DevOps Guru, DevOps Guru añadirá automáticamente una política a los temas.
Después de adjuntar una política para configurar los permisos de un SNS tema de Amazon en otra cuenta, puedes añadir el SNS tema de Amazon en DevOps Guru. También puedes actualizar tu SNS política de Amazon con un canal de notificaciones para que sea más segura.
nota
DevOpsActualmente, Guru solo admite el acceso entre cuentas en la misma región.
Temas
Configurar permisos para un SNS tema de Amazon en otra cuenta
Añadir permisos como IAM función
Para usar un SNS tema de Amazon de otra cuenta después de iniciar sesión con un IAM rol, debes adjuntar una política al SNS tema de Amazon que quieras usar. Para adjuntar una política a un SNS tema de Amazon desde otra cuenta mientras utilizas un IAM rol, debes tener los siguientes permisos para ese recurso de cuenta como parte de tu IAM rol:
sns: CreateTopic
sns: GetTopicAttributes
sns: SetTopicAttributes
sns:Publish
Adjunta la siguiente política al SNS tema de Amazon que quieras usar. Para la Resource clave, topic-owner-account-id es el ID de cuenta del propietario del tema, topic-sender-account-id es el ID de cuenta del usuario que creó DevOps Guru y devops-guru-role es la IAM función del usuario individual implicado. Debe sustituir los valores adecuados por region-id (por ejemplo,us-west-2) y my-topic-name.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "EnableDevOpsGuruServicePrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Condition": { "StringEquals": { "AWS:SourceAccount": "topic-sender-account-id" } } }, { "Sid": "EnableAccountPrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "AWS": ["arn:aws:iam::topic-sender-account-id:role/devops-guru-role"] } } ] }
Añadir permisos como IAM usuario
Para usar un SNS tema de Amazon de otra cuenta como IAM usuario, adjunta la siguiente política al SNS tema de Amazon que quieras usar. Para la Resource clave, topic-owner-account-id es el ID de cuenta del propietario del tema, topic-sender-account-id es el ID de cuenta del usuario que creó DevOps Guru y devops-guru-user-name es el IAM usuario individual implicado. Debe sustituir los valores adecuados por region-id (por ejemplo,us-west-2) y my-topic-name.
nota
Siempre que sea posible, recomendamos utilizar credenciales temporales en lugar de crear IAM usuarios con credenciales de larga duración, como contraseñas y claves de acceso. Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "EnableDevOpsGuruServicePrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Condition": { "StringEquals": { "AWS:SourceAccount": "topic-sender-account-id" } } }, { "Sid": "EnableAccountPrincipal", "Action": "sns:Publish", "Effect": "Allow", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Principal": { "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"] } } ] }
Añadir un SNS tema de Amazon desde otra cuenta
Después de configurar los permisos para un SNS tema de Amazon en otra cuenta, puedes añadir ese SNS tema de Amazon a la configuración de notificaciones de DevOps Guru. Puedes añadir el SNS tema de Amazon desde la consola DevOps Guru AWS CLI o desde ella.
Cuando utilice la consola, debe seleccionar la opción Usar un SNS tema ARN para especificar un tema existente para poder usar un tema de otra cuenta.
Al utilizar la AWS CLI operación add-notification-channel
, debe especificar lo que hay TopicArndentro delNotificationChannelConfigobjeto.
Añadir un SNS tema de Amazon desde otra cuenta mediante la consola
Abra la consola de Amazon DevOps Guru en https://console.aws.amazon.com/devops-guru/
. Abra el panel de navegación y seleccione Configuración.
Vaya a la sección Notificaciones y seleccione Editar.
Selecciona Añadir SNS tema.
Elija Usar un SNS tema ARN para especificar un tema existente.
Introduce el SNS tema ARN de Amazon que quieras usar. Debería haber configurado ya los permisos para este tema adjuntándole una política.
(Opcional) Seleccione Configuración de notificación para editar los ajustes de frecuencia de notificación.
Seleccione Guardar.
Tras añadir el SNS tema de Amazon a la configuración de notificaciones, DevOps Guru utilizará ese tema para avisarte de eventos importantes, como cuando se crea una nueva información.
Actualizar tu SNS política de Amazon con un canal de notificaciones (recomendado)
Después de añadir un tema, te recomendamos que hagas que tu política sea más segura especificando los permisos únicamente para el canal de notificaciones de DevOps Guru que contiene tu tema.
Actualiza tu política de SNS temas de Amazon con un canal de notificaciones (recomendado)
-
Ejecuta el AWS CLI comando
list-notification-channelsDevOps Guru en tu cuenta desde la que deseas enviar las notificaciones.aws devops-guru list-notification-channels -
En la
list-notification-channelsrespuesta, anota el ID del canal que contiene tu SNS tema de AmazonARN. El ID del canal es una guía.Por ejemplo, en la siguiente respuesta, el ID del canal del tema con ARN
arn:aws:sns:elregion-id:111122223333:topic-namee89be5f7-989d-4c4c-b1fe-e7145037e531{ "Channels": [ { "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531", "Config": { "Sns": { "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name" }, "Filters": { "MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"], "Severities": ["HIGH", "MEDIUM"] } } } ] } -
Ve a la política que creó en otra cuenta con el ID de propietario del tema en Configurar permisos para un SNS tema de Amazon en otra cuenta. En la declaración de la política
Condition, agregue la línea que especifica laSourceArn. ARNContiene el identificador de tu región (por ejemplo,us-east-1), el número de AWS cuenta del remitente del tema y el identificador del canal que has anotado.Su estado de cuenta actualizado
Conditiontendría el siguiente aspecto."Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531", "AWS:SourceAccount": "111122223333" } }
Si AddNotificationChannel no puedes añadir tu SNS tema, comprueba que tu IAM política tenga los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DevOpsGuruTopicPermissions", "Effect": "Allow", "Action": [ "sns:CreateTopic", "sns:GetTopicAttributes", "sns:SetTopicAttributes", "sns:Publish" ], "Resource": "arn:aws:sns:region-id:account-id:my-topic-name" }] }
