Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour le SNS sujet Amazon

Cette rubrique décrit comment configurer AWS Config pour diffuser des SNS sujets Amazon appartenant à un autre compte. AWS Config doit disposer des autorisations requises pour envoyer des notifications à un SNS sujet Amazon. Pour la configuration d'un même compte, lorsque le AWS Config la console crée un SNS sujet Amazon ou vous choisissez un SNS sujet Amazon depuis votre propre compte, AWS Config s'assure que la SNS rubrique Amazon inclut les autorisations requises et respecte les meilleures pratiques en matière de sécurité.

Autorisations requises pour le SNS sujet Amazon lors de l'utilisation de IAM rôles

Vous pouvez associer une politique d'autorisation à la SNS rubrique Amazon appartenant à un autre compte. Si vous souhaitez utiliser un SNS sujet Amazon depuis un autre compte, veillez à associer la politique suivante au SNS sujet Amazon existant.

{
  "Id": "Policy_ID",
  "Statement": [
    {
      "Sid": "AWSConfigSNSPolicy",
      "Action": [
        "sns:Publish"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
      "Principal": {
        "AWS": [
          "account-id1",
          "account-id2",
          "account-id3"
        ]
      }
    }
  ]
}

Pour la Resource clé, account-id est le AWS numéro de compte du propriétaire du sujet. Dans account-id1, account-id2, et account-id3, utilisez Comptes AWS qui enverra des données à un SNS sujet Amazon. Vous pouvez remplacer les valeurs appropriées par region and myTopic.

Lorsque AWS Config envoie une notification à un SNS sujet Amazon, il tente d'abord d'utiliser le IAM rôle, mais cette tentative échoue si le rôle ou Compte AWS n'est pas autorisé à publier sur le sujet. Dans ce cas, AWS Config envoie à nouveau la notification, cette fois sous forme de AWS Config nom principal du service (SPN). Pour que la publication réussisse, la stratégie d’accès pour la rubrique doit autoriser l'accès sns:Publish au nom du principal config.amazonaws.com. Vous devez joindre une politique d'accès, décrite dans la section suivante, à la SNS rubrique Amazon pour accorder AWS Config accès au SNS sujet Amazon si le IAM rôle n'est pas autorisé à publier sur le sujet.

Autorisations requises pour le SNS sujet Amazon lors de l'utilisation de rôles liés à un service

Le AWS Config le rôle lié à un service n'est pas autorisé à accéder à la rubrique AmazonSNS. Donc, si vous configurez AWS Config en utilisant un rôle lié à un service ()SLR, AWS Config enverra les informations sous forme de AWS Config principal de service à la place. Vous devrez joindre une politique d'accès, mentionnée ci-dessous, à la SNS rubrique Amazon pour accorder AWS Config accès pour envoyer des informations à la SNS rubrique Amazon.

Pour la configuration d'un même compte, lorsque le SNS sujet Amazon est SLR associé au même compte et que la SNS politique d'Amazon accorde l'autorisation SLR « sns:Publish », vous n'avez pas besoin d'utiliser le AWS Config SPN. La politique d'autorisation ci-dessous et les recommandations relatives aux bonnes pratiques de sécurité concernent la configuration entre comptes.

Octroi AWS Config accès à la SNS rubrique Amazon.

Cette politique permet AWS Config pour envoyer une notification à un SNS sujet Amazon. Pour octroyer AWS Config pour accéder au SNS sujet Amazon depuis un autre compte, vous devrez joindre la politique d'autorisation suivante.

{
"Id": "Policy_ID",
"Statement": [
  {
    "Sid": "AWSConfigSNSPolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "config.amazonaws.com"
    },
    "Action": "sns:Publish",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
        "Condition" : {
        "StringEquals": {
          "AWS:SourceAccount": [
            "account-id1",
            "account-id2",
            "account-id3"
          ]
        }
      }
    }
  ]
}

Pour la Resource clé, account-id est le AWS numéro de compte du propriétaire du sujet. Dans account-id1, account-id2, et account-id3, utilisez Comptes AWS qui enverra des données à un SNS sujet Amazon. Vous pouvez remplacer les valeurs appropriées par region and myTopic.

Vous pouvez utiliser la AWS:SourceAccount condition figurant dans la politique SNS thématique précédente d'Amazon pour restreindre le AWS Config nom principal du service (SPN) pour interagir uniquement avec le SNS sujet Amazon lorsque vous effectuez des opérations pour le compte de comptes spécifiques.

AWS Config soutient également la AWS:SourceArn condition qui restreint AWS Config nom principal du service (SPN) pour interagir uniquement avec le compartiment S3 lors de l'exécution d'opérations pour le compte de AWS Config canaux de distribution. Lorsque vous utilisez le AWS Config nom principal du service (SPN), la AWS:SourceArn propriété sera toujours définie arn:aws:config:sourceRegion:sourceAccountID:* comme sourceRegion étant la région du canal de livraison et sourceAccountID l'identifiant du compte contenant le canal de livraison. Pour plus d'informations sur AWS Config canaux de diffusion, voir Gestion du canal de diffusion. Par exemple, ajoutez la condition suivante pour restreindre AWS Config nom principal du service (SPN) pour interagir avec votre compartiment S3 uniquement pour le compte d'un canal de diffusion de la us-east-1 région dans le compte 123456789012 :"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Résolution des problèmes liés à la SNS rubrique Amazon

AWS Config doit être autorisé à envoyer des notifications à un SNS sujet Amazon. Si un SNS sujet Amazon ne peut pas recevoir de notifications, vérifiez que le IAM rôle qui AWS Config supposait disposer des sns:Publish autorisations requises.