Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politique SNS thématique d'Amazon pour CloudTrail
Pour envoyer des notifications à un SNS sujet, vous CloudTrail devez disposer des autorisations requises. CloudTrailattache automatiquement les autorisations requises au sujet lorsque vous créez un SNS sujet Amazon dans le cadre de la création ou de la mise à jour d'un parcours dans la CloudTrail console.
Important
Pour des raisons de sécurité, afin de restreindre l'accès à votre SNS rubrique, nous vous recommandons vivement de modifier manuellement la IAM politique attachée à la SNS rubrique afin d'ajouter des clés de condition après avoir créé ou mis à jour un suivi pour envoyer des SNS notifications. Pour plus d’informations, consultez Bonnes pratiques en matière de sécurité en matière de politique SNS thématique dans cette rubrique.
CloudTrail ajoute pour vous la déclaration suivante à la politique avec les champs suivants :
-
L'autoriséSIDs.
-
Le nom principal du service pour CloudTrail.
-
Le SNS sujet, y compris la région, l'ID du compte et le nom du sujet.
La politique suivante permet d' CloudTrail envoyer des notifications concernant la livraison de fichiers journaux depuis les régions prises en charge. Pour plus d’informations, consultez CloudTrail Régions prises en charge. Il s'agit de la politique par défaut qui est attachée à une politique de SNS sujet nouvelle ou existante lorsque vous créez ou mettez à jour un journal, et que vous choisissez d'activer SNS les notifications.
SNSpolitique thématique
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName" } ] }
Pour utiliser un SNS sujet Amazon AWS KMS chiffré pour envoyer des notifications, vous devez également activer la compatibilité entre la source de l'événement (CloudTrail) et le sujet crypté en ajoutant la déclaration suivante à la politique du AWS KMS key.
KMSpolitique clé
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" } ] }
Pour plus d'informations, voir Activer la compatibilité entre les sources d'événements provenant AWS des services et des rubriques cryptées.
Table des matières
Bonnes pratiques en matière de sécurité en matière de politique SNS thématique
Par défaut, la déclaration de IAM politique CloudTrail associée à votre SNS sujet Amazon autorise le directeur du CloudTrail service à publier sur un SNS sujet, identifié par unARN. Pour empêcher un attaquant d'accéder à votre SNS sujet et d'envoyer des notifications au nom des destinataires du CloudTrail sujet, modifiez manuellement votre politique de CloudTrail SNS sujet pour ajouter une clé de aws:SourceArn condition à la déclaration de politique jointe par CloudTrail. La valeur de cette clé est celle ARN de la piste, ou d'un ensemble ARNs de pistes utilisant le SNS sujet. Comme il inclut à la fois l'identifiant du parcours spécifique et l'identifiant du compte propriétaire du parcours, il limite l'accès au SNS sujet aux seuls comptes autorisés à gérer le parcours. Avant d'ajouter des clés de condition à votre politique de SNS sujet, obtenez le nom du SNS sujet dans les paramètres de votre parcours dans la CloudTrail console.
La clé de condition aws:SourceAccount est également prise en charge, mais n'est pas recommandée.
Pour ajouter la clé de aws:SourceArn condition à votre politique de SNS sujet
Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home
. -
Dans le volet de navigation, choisissez Rubriques.
-
Choisissez le SNS sujet affiché dans les paramètres de votre parcours, puis choisissez Modifier.
-
Développez la politique d'accès.
-
Dans l'JSONéditeur de politique d'accès, recherchez un bloc qui ressemble à l'exemple suivant.
{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496" } -
Ajouter un nouveau bloc pour une condition,
aws:SourceArnComme illustré dans l'exemple suivant. La valeur deaws:SourceArnest celle ARN de la piste à laquelle vous envoyez des notificationsSNS.{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail/Trail3" } } } -
Lorsque vous avez terminé de modifier la politique du SNS sujet, choisissez Enregistrer les modifications.
Pour ajouter la clé de aws:SourceAccount condition à votre politique de SNS sujet
Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home
. -
Dans le volet de navigation, choisissez Rubriques.
-
Choisissez le SNS sujet affiché dans les paramètres de votre parcours, puis choisissez Modifier.
-
Développez la politique d'accès.
-
Dans l'JSONéditeur de politique d'accès, recherchez un bloc qui ressemble à l'exemple suivant.
{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496" } -
Ajouter un nouveau bloc pour une condition,
aws:SourceAccountComme illustré dans l'exemple suivant. La valeur deaws:SourceAccountest l'identifiant du compte propriétaire du CloudTrail parcours. Cet exemple limite l'accès au SNS sujet aux seuls utilisateurs qui peuvent se connecter au AWS compte 123456789012.{ "Sid": "AWSCloudTrailSNSPolicy20150319", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:us-west-2:111122223333:aws-cloudtrail-logs-111122223333-61bbe496", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" } } } -
Lorsque vous avez terminé de modifier la politique du SNS sujet, choisissez Enregistrer les modifications.
Spécification d'une rubrique existante pour l'envoi des notifications
Vous pouvez ajouter manuellement les autorisations pour un SNS sujet Amazon à votre politique de sujet dans la SNS console Amazon, puis spécifier le sujet dans la CloudTrail console.
Pour mettre à jour manuellement une politique de SNS rubrique
Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home
. -
Choisissez Rubriques, puis choisissez la rubrique.
-
Choisissez Modifier, puis faites défiler l'écran vers le bas jusqu'à Politique d'accès.
-
Ajoutez le relevé de SNS topic policy avec les valeurs appropriées pour la région, l'ID de compte et le nom du sujet.
-
Si votre sujet est un sujet crypté, vous devez autoriser
kms:GenerateDataKey*et CloudTrail obtenir leskms:Decryptautorisations nécessaires. Pour plus d’informations, consultez Encrypted SNS topic KMS key policy. -
Choisissez Enregistrer les modifications.
-
Retournez à la CloudTrail console et spécifiez le sujet du parcours.
Résolution des problèmes liés à la politique SNS thématique
Les sections suivantes décrivent comment résoudre les problèmes liés à la politique en matière de SNS rubriques.
Scénarios
CloudTrail n'envoie pas de notifications pour une région
Lorsque vous créez un nouveau sujet dans le cadre de la création ou de la mise à jour d'un parcours CloudTrail , associez les autorisations requises à votre sujet. La politique thématique utilise le nom principal du service"cloudtrail.amazonaws.com", qui permet d' CloudTrail envoyer des notifications pour toutes les régions.
S'il ne s' CloudTrail agit pas d'envoyer de notifications pour une région, il est possible que votre sujet ait une ancienne politique spécifiant un CloudTrail compte IDs pour chaque région. Cette politique CloudTrail autorise l'envoi de notifications uniquement pour les régions spécifiées.
La politique thématique suivante permet CloudTrail d'envoyer des notifications uniquement pour les neuf régions spécifiées :
Exemple politique thématique avec compte IDs
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"AWS": [
"arn:aws:iam::903692715234:root",
"arn:aws:iam::035351147821:root",
"arn:aws:iam::859597730677:root",
"arn:aws:iam::814480443879:root",
"arn:aws:iam::216624486486:root",
"arn:aws:iam::086441151436:root",
"arn:aws:iam::388731089494:root",
"arn:aws:iam::284668455005:root",
"arn:aws:iam::113285607260:root"
]},
"Action": "SNS:Publish",
"Resource": "aws:arn:sns:us-east-1:123456789012:myTopic"
}]
}Cette politique utilise une autorisation basée sur le CloudTrail compte individuelIDs. Pour fournir des journaux pour une nouvelle région, vous devez mettre à jour manuellement la politique afin d'inclure l'identifiant de CloudTrail compte de cette région. Par exemple, en raison de l' CloudTrail ajout de la prise en charge de la région USA Est (Ohio), vous devez mettre à jour la politique pour ajouter l'identifiant de compte ARN pour cette région :"arn:aws:iam::475085895292:root".
Il est recommandé de mettre à jour la politique pour utiliser une autorisation auprès du directeur du CloudTrail service. Pour ce faire, remplacez l'identifiant du compte ARNs par le nom principal du service :"cloudtrail.amazonaws.com".
Cela donne CloudTrail l'autorisation d'envoyer des notifications pour les régions actuelles et nouvelles. Voici une version mise à jour de la politique précédente :
Exemple politique de rubrique avec le nom principal du service
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSCloudTrailSNSPolicy20131101",
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:123456789012:myTopic"
}]
}Vérifiez que la politique comporte les valeurs appropriées :
-
Dans le champ
Resource, spécifiez le numéro de compte du propriétaire de la rubrique. Pour les rubriques que vous créez, spécifiez votre numéro de compte. -
Spécifiez les valeurs appropriées pour le nom de la région et du SNS sujet.
CloudTrail n'envoie pas de notifications pour le compte d'un membre d'une organisation
Lorsqu'un compte membre associé à un AWS Organizations historique d'organisation n'envoie pas de SNS notifications à Amazon, il se peut que la configuration de la politique SNS thématique pose problème. CloudTrail crée des traces d'organisation dans les comptes des membres même si la validation d'une ressource échoue. Par exemple, le SNS sujet du journal de l'organisation n'inclut pas tous les comptes des membresIDs. Si la politique du SNS sujet est incorrecte, un échec d'autorisation se produit.
Pour vérifier si la politique SNS thématique d'un sentier présente un échec d'autorisation, procédez comme suit :
-
Depuis la CloudTrail console, consultez la page de détails du parcours. En cas d'échec de l'autorisation, la page de détails inclut un avertissement
SNS authorization failedet indique que la politique du SNS sujet doit être corrigée. -
À partir du AWS CLI, exécutez la get-trail-statuscommande. En cas d'échec de l'autorisation, la sortie de commande inclut le
LastNotificationErrorchamp avec une valeur deAuthorizationError.
Ressources supplémentaires
Pour plus d'informations sur les SNS sujets et pour s'y abonner, consultez le guide du développeur Amazon Simple Notification Service.
