Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour le SNS sujet Amazon
Cette rubrique décrit comment configurer AWS Config pour diffuser des SNS sujets Amazon appartenant à un autre compte. AWS Config doit disposer des autorisations requises pour envoyer des notifications à un SNS sujet Amazon. Pour la configuration d'un même compte, lorsque le AWS Config la console crée un SNS sujet Amazon ou vous choisissez un SNS sujet Amazon depuis votre propre compte, AWS Config s'assure que la SNS rubrique Amazon inclut les autorisations requises et respecte les meilleures pratiques en matière de sécurité.
Note
AWS Config prend actuellement en charge l'accès uniquement dans la même région et entre les comptes. SNSsujets utilisés pour la remédiation AWS Systems Manager (SSM) les documents ou le canal de distribution destiné à l'enregistreur ne peuvent pas être interrégionaux.
Table des matières
Autorisations requises pour le SNS sujet Amazon lors de l'utilisation de IAM rôles
Vous pouvez associer une politique d'autorisation à la SNS rubrique Amazon appartenant à un autre compte. Si vous souhaitez utiliser un SNS sujet Amazon depuis un autre compte, veillez à associer la politique suivante au SNS sujet Amazon existant.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:
region
:account-id
:myTopic
", "Principal": { "AWS": [ "account-id1
", "account-id2
", "account-id3
" ] } } ] }
Pour la Resource
clé, account-id
est le AWS
numéro de compte du propriétaire du sujet. Dans account-id1
,
account-id2
, et account-id3
, utilisez Comptes AWS qui enverra des données à un SNS sujet Amazon. Vous pouvez remplacer les valeurs appropriées par region
and myTopic
.
Lorsque AWS Config envoie une notification à un SNS sujet Amazon, il tente d'abord d'utiliser le IAM rôle, mais cette tentative échoue si le rôle ou Compte AWS n'est pas autorisé à publier sur le sujet. Dans ce cas, AWS Config envoie à nouveau la notification, cette fois sous forme de AWS Config nom principal du service (SPN). Pour que la publication réussisse, la stratégie d’accès pour la rubrique doit autoriser l'accès sns:Publish
au nom du principal config.amazonaws.com
. Vous devez joindre une politique d'accès, décrite dans la section suivante, à la SNS rubrique Amazon pour accorder AWS Config accès au SNS sujet Amazon si le IAM rôle n'est pas autorisé à publier sur le sujet.
Autorisations requises pour le SNS sujet Amazon lors de l'utilisation de rôles liés à un service
Le AWS Config le rôle lié à un service n'est pas autorisé à accéder à la rubrique AmazonSNS. Donc, si vous configurez AWS Config en utilisant un rôle lié à un service ()SLR, AWS Config enverra les informations sous forme de AWS Config principal de service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la SNS rubrique Amazon pour accorder AWS Config accès pour envoyer des informations à la SNS rubrique Amazon.
Pour la configuration d'un même compte, lorsque le SNS sujet Amazon est SLR associé au même compte et que la SNS politique d'Amazon accorde l'autorisation SLR « sns:Publish
», vous n'avez pas besoin d'utiliser le AWS Config
SPN. La politique d'autorisation ci-dessous et les recommandations relatives aux bonnes pratiques de sécurité concernent la configuration entre comptes.
Octroi AWS Config accès à la SNS rubrique Amazon.
Cette politique permet AWS Config pour envoyer une notification à un SNS sujet Amazon. Pour octroyer AWS Config pour accéder au SNS sujet Amazon depuis un autre compte, vous devrez joindre la politique d'autorisation suivante.
Note
En tant que bonne pratique en matière de sécurité, il est fortement recommandé de s'assurer AWS Config accède aux ressources pour le compte des utilisateurs attendus uniquement en restreignant l'accès aux comptes répertoriés dans AWS:SourceAccount
cette condition.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:
region
:account-id
:myTopic
", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1
", "account-id2
", "account-id3
" ] } } } ] }
Pour la Resource
clé, account-id
est le AWS
numéro de compte du propriétaire du sujet. Dans account-id1
,
account-id2
, et account-id3
, utilisez Comptes AWS qui enverra des données à un SNS sujet Amazon. Vous pouvez remplacer les valeurs appropriées par region
and myTopic
.
Vous pouvez utiliser la AWS:SourceAccount
condition figurant dans la politique SNS thématique précédente d'Amazon pour restreindre le AWS Config nom principal du service (SPN) pour interagir uniquement avec le SNS sujet Amazon lorsque vous effectuez des opérations pour le compte de comptes spécifiques.
AWS Config soutient également la AWS:SourceArn
condition qui restreint AWS Config
nom principal du service (SPN) pour interagir uniquement avec le compartiment S3 lors de l'exécution d'opérations pour le compte de AWS Config canaux de distribution. Lorsque vous utilisez le AWS Config nom principal du service (SPN), la AWS:SourceArn
propriété sera toujours définie arn:aws:config:sourceRegion:sourceAccountID:*
comme sourceRegion
étant la région du canal de livraison et sourceAccountID
l'identifiant du compte contenant le canal de livraison. Pour plus d'informations sur AWS Config canaux de diffusion, voir Gestion du canal de diffusion. Par exemple, ajoutez la condition suivante pour restreindre AWS Config nom principal du service (SPN) pour interagir avec votre compartiment S3 uniquement pour le compte d'un canal de diffusion de la us-east-1
région dans le compte 123456789012
:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}
.
Résolution des problèmes liés à la SNS rubrique Amazon
AWS Config doit être autorisé à envoyer des notifications à un SNS sujet Amazon. Si un SNS sujet Amazon ne peut pas recevoir de notifications, vérifiez que le IAM rôle qui AWS Config supposait disposer des sns:Publish
autorisations requises.