Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance des modifications AWS des ressources avec Amazon SQS
AWS Config utilise Amazon Simple Notification Service (SNS) pour vous envoyer des notifications chaque fois qu'une AWS ressource prise en charge est créée, mise à jour ou modifiée suite à l'activité de l'API utilisateur. Cependant, vous ne vous intéressez peut-être qu'aux changements de configuration de certaines ressources. Par exemple, vous pouvez considérer qu'il est essentiel de savoir quand quelqu'un modifie la configuration d'un groupe de sécurité, mais pas besoin de savoir chaque fois que des balises sont modifiées sur vos EC2 instances Amazon. Vous pourriez écrire un programme qui exécute des actions spécifiques lorsque des ressources spécifiques sont mises à jour. Par exemple, vous pourriez vouloir démarrer un certain flux de travail lorsque la configuration d'un groupe de sécurité est modifiée. Si vous souhaitez utiliser les données par programmation de AWS Config cette manière ou d'une autre, utilisez une file d'attente Amazon Simple Queue Service comme point de terminaison de notification pour Amazon SNS.
Note
Des notifications peuvent également provenir d'Amazon SNS sous la forme d'un e-mail, de SMS (Short Message Service) envoyés vers des téléphones mobiles qui prennent en charge les SMS et des smartphones, sous la forme d'un message de notification vers une application sur un appareil mobile ou sous la forme d'un message de notification vers un ou plusieurs points de terminaison HTTP ou HTTPS.
Vous pouvez avoir une seule file d'attente SQS pour s'abonner à plusieurs sujets, que vous ayez un sujet pour chaque région ou un sujet pour chaque compte pour chaque région. Vous devez vous abonner à la file d'attente de votre rubrique SNS souhaitée. (Vous pouvez vous abonner à plusieurs files d'attente d'une rubrique SNS.) Pour plus d'informations, consultez Envoi de messages d'Amazon SNS aux files d'attente Amazon SQS.
Autorisations pour Amazon SQS
Pour utiliser Amazon SQS avec AWS Config, vous devez configurer une politique qui accorde des autorisations à votre compte pour effectuer toutes les actions autorisées sur une file d'attente SQS. L'exemple de stratégie suivant accorde au numéro de compte 111122223333 et au numéro de compte 444455556666 la permission d'envoyer des messages se rapportant à chaque changement de configuration dans la file d'attente nommée arn:aws:sqs:us-east-2:444455556666:queue1.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": { "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": ["111122223333","444455556666"] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" } }
Vous devez également créer une stratégie qui accorde des autorisations pour les connexions entre une rubrique SNS et la file d'attente SQS qui souscrit à cette rubrique. Voici un exemple de politique qui permet à la rubrique SNS portant le nom de ressource Amazon (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic d'effectuer des actions sur la file d'attente nommée arn:aws:sqs:us-east- 2:111122223333 :. test-topic-queue
Note
Le compte de la rubrique SNS et la file d'attente SQS doivent être dans la même région.
{ "Version": "2012-10-17", "Id": "SNStoSQS", "Statement": { "Sid":"rule1", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": "SQS:SendMessage", "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue", "Condition" : { "StringEquals" : { "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic" } } } }
Chaque stratégie peut inclure des instructions qui couvrent uniquement une seule file d'attente, et non plusieurs files d'attente. Pour plus d'informations sur les autres restrictions sur les politiques Amazon SQS, consultez Informations spéciales relatives aux politiques Amazon SQS.
