Configuración de temas de Amazon SNS para las notificaciones de Change Manager - AWS Systems Manager

Configuración de temas de Amazon SNS para las notificaciones de Change Manager

Puede configurar Change Manager, una capacidad de AWS Systems Manager, para que envíe notificaciones a un tema de Amazon Simple Notification Service (Amazon SNS) por los eventos relacionados con las solicitudes y las plantillas de cambios. Lleve a cabo las siguientes tareas para recibir notificaciones por los eventos de Change Manager a los que agregue un tema.

Tarea 1: crear un tema de Amazon SNS y suscribirse a él

En primer lugar, debe crear un tema de Amazon SNS y suscribirse a él. Para obtener más información, consulte Creating a Amazon SNS topic (Creación de un tema de Amazon SNS) y Subscribing to an Amazon SNS topic (Suscripción a un tema de Amazon SNS) en la Guía para desarrolladores de Amazon Simple Notification Service.

nota

Para recibir notificaciones, debe especificar el nombre de recurso de Amazon (ARN) de un tema de Amazon SNS que se encuentre en la misma Región de AWS y Cuenta de AWS que la cuenta de administrador delegado.

Tarea 2: actualizar la política de acceso de Amazon SNS

Utilice el siguiente procedimiento para actualizar la política de acceso de Amazon SNS de modo que Systems Manager pueda publicar las notificaciones de Change Manager en el tema de Amazon SNS que creó en la tarea 1. Si no completa esta tarea, Change Manager no tendrá permiso para enviar las notificaciones de los eventos para los que agrega el tema.

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, elija Temas.

  3. Elija el tema que creó en la tarea 1 y, a continuación, elija Edit (Editar).

  4. Expanda Política de acceso.

  5. Agregue y actualice el siguiente bloque Sid a la política existente y sustituya cada espacio disponible de entrada del usuario con su propia información.

    { "Sid": "Allow Change Manager to publish to this topic", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:topic-name", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id" ] } } }

    Ingrese este bloque después del bloque Sid existente, y reemplace region, account-id y topic-name con los valores apropiados para el tema que ha creado.

  6. Elija Guardar cambios.

El sistema ahora enviará notificaciones al tema de Amazon SNS cuando se produzca el tipo de evento para el que se agregó el tema.

importante

Si configuró el tema de Amazon SNS con una clave de cifrado de AWS Key Management Service (AWS KMS) del lado del servidor, debe completar la tarea 3.

Tarea 3: (Opcional) Actualizar la política de acceso de AWS Key Management Service

Si activó el cifrado de AWS Key Management Service (AWS KMS) del lado del servidor para el tema de Amazon SNS, también debe actualizar la política de acceso de la AWS KMS key que eligió cuando configuró el tema. Siga el siguiente procedimiento para actualizar la política de acceso de modo que Systems Manager pueda publicar las notificaciones de aprobaciones de Change Manager en el tema de Amazon SNS que creó en la tarea 1.

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. En el panel de navegación, elija Claves administradas por el cliente.

  3. Elija el ID de la clave administrada por el cliente que eligió cuando creó el tema.

  4. En la sección Key policy (Política de claves), elija Switch to policy view (Cambiar a la vista de política).

  5. Elija Editar.

  6. Escriba el siguiente bloque Sid después de uno de los bloques Sid en la política existente. Reemplace cada uno marcador de posición del usuario con información propia.

    { "Sid": "Allow Change Manager to decrypt the key", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id" ] } } }
  7. Ahora, escriba el siguiente bloque Sid después de uno de los bloques Sid en la política de recursos para ayudar a evitar el problema del suplente confuso entre servicios.

    Este bloque utiliza claves de contexto de condición global aws:SourceArn y aws:SourceAccount para limitar los permisos que Systems Manager otorga a otro servicio al recurso.

    Reemplace cada uno marcador de posición del usuario con información propia.

    { "Version": "2008-10-17", "Statement": [ { "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:region:account-id:topic-name", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ssm:region:account-id:*" }, "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
  8. Elija Guardar cambios.