Vérifier ou renvoyer les e-mails de confirmation de notification Protection des données de vos alertes de détection d'anomalies Amazon SNS avec SSE et AWS KMS

Création d'une rubrique Amazon SNS pour les notifications d'anomalies

Pour créer un moniteur de détection des anomalies qui envoie des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS), vous devez déjà avoir une rubrique Amazon SNS ou en créer une nouvelle. Vous pouvez utiliser les rubriques Amazon SNS pour envoyer des notifications via SNS en plus des e-mails. AWS Cost Anomaly Detection doit disposer des autorisations nécessaires pour envoyer une notification à votre sujet.

Pour créer une rubrique de notification Amazon SNS et accorder des autorisations

Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans le volet de navigation, choisissez Rubriques.
Choisissez Créer une rubrique.
Pour Name (Nom), entrez le nom de votre rubrique de notification.
(Facultatif) Sous Display name (Nom d'affichage), entrez le nom que vous souhaitez afficher lorsque vous recevez une notification.
Dans Access policy (Stratégie d'accès), choisissez Advanced (Avancée).
Dans le champ de texte de la politique, après « Déclaration » : [, entrez l'une des déclarations suivantes :

Pour autoriser le service de détection des anomalies de AWS coût à publier sur la rubrique Amazon SNS, utilisez l'instruction suivante.
```
{
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN"
}
```
Pour autoriser le service de détection des anomalies de AWS coût à publier sur la rubrique Amazon SNS uniquement pour le compte d'un certain compte, utilisez la déclaration suivante.
```
{
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN",
  "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "account-ID"
          ]
        }
  }
}
```
Note
Dans cette politique de rubrique, vous entrez l'ID de compte de l'abonnement comme valeur de la aws:SourceAccount condition. Cette condition fait en sorte que AWS Cost Anomaly Detection interagisse avec la rubrique Amazon SNS uniquement lors de l'exécution d'opérations pour le compte propriétaire de l'abonnement.
Vous pouvez limiter la détection des anomalies de AWS coût pour interagir avec le sujet uniquement lorsque vous effectuez des opérations pour le compte d'un abonnement spécifique. Pour ce faire, utilisez la aws:SourceArn condition figurant dans la politique du sujet.
Pour plus d'informations sur ces conditions, consultez aws:SourceAccountet consultez aws:SourceArnle guide de l'utilisateur IAM.
Dans la déclaration de politique de sujet que vous sélectionnez, remplacez les valeurs suivantes :
- Remplacez (par exemple AWSAnomalyDetectionSNSPublishingPermissions) par une chaîne. Le Sid doit être unique dans la stratégie.
- Remplacez l'ARN de votre rubrique par le nom de ressource Amazon SNS (ARN).
- Si vous utilisez le relevé avec la aws:SourceAccount condition, remplacez Account-ID par l'ID du compte propriétaire de l'abonnement. Si la rubrique Amazon SNS comporte plusieurs abonnements provenant de différents comptes, ajoutez plusieurs identifiants de compte à la aws:SourceAccount condition.
Choisissez Créer une rubrique.

Votre rubrique est répertoriée dans la liste des rubriques sur la page Topics (Rubriques).

Vérifier ou renvoyer les e-mails de confirmation de notification

Lorsque vous créez un moniteur de détections d'anomalies avec des notifications, vous créez également des notifications Amazon SNS. Pour envoyer des notifications, vous devez accepter l'abonnement à la rubrique de notification Amazon SNS.

Pour confirmer que vos abonnements aux notifications sont acceptés ou pour renvoyer un e-mail de confirmation d'abonnement, utilisez la console Amazon SNS.

Pour vérifier l'état de votre notification ou pour renvoyer un e-mail de confirmation

Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/sns/v3/home.
Dans le panneau de navigation, sélectionnez Abonnements.
Vérifiez le statut de votre notification. Sous État, PendingConfirmation apparaît si un abonnement n'est pas accepté et confirmé.
(Facultatif) Pour renvoyer une demande de confirmation, sélectionnez l'abonnement indiquant une confirmation en attente, puis choisissez Request confirmation (Demander une confirmation). Amazon SNS envoie une demande de confirmation pour les points de terminaison qui sont abonnés aux notifications.

Lorsque chaque propriétaire d'un point de terminaison reçoit l'e-mail, il doit sélectionner le lien Confirmer l'abonnement pour activer la notification.

Le chiffrement côté serveur (SSE, Server-Side Encryption) vous permet de transférer des données sensibles dans des rubriques chiffrées. SSE protège les messages Amazon SNS à l'aide de clés gérées dans AWS Key Management Service (AWS KMS).

Pour gérer le SSE à l'aide AWS Management Console du AWS SDK, consultez la section Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS dans le guide de démarrage d'Amazon Simple Notification Service.

Pour créer des sujets chiffrés à l'aide de AWS CloudFormation, consultez le guide de AWS CloudFormation l'utilisateur.

SSE chiffre les messages une fois reçus par Amazon SNS. Les messages sont stockés chiffrés et sont déchiffrés à l'aide d'Amazon SNS, uniquement lorsqu'ils sont envoyés.

Configuration des AWS KMS autorisations

Vous devez configurer vos politiques AWS KMS clés avant de pouvoir utiliser le chiffrement côté serveur (SSE). Vous pouvez utiliser cette configuration pour chiffrer des sujets, en plus de chiffrer et de déchiffrer des messages. Pour plus d'informations sur AWS KMS les autorisations, consultez la section Permissions d'AWS KMS API : référence sur les actions et les ressources dans le manuel du AWS Key Management Service développeur.

Vous pouvez également utiliser les politiques IAM pour gérer les autorisations AWS KMS clés. Pour plus d’informations, consultez Utilisation de politiques IAM avec AWS KMS.

Note

Vous pouvez configurer des autorisations globales pour envoyer et recevoir des messages depuis Amazon SNS. Cependant, cela AWS KMS nécessite que vous nommiez le nom de ressource Amazon complet (ARN) des AWS KMS keys (clés KMS) dans le nom spécifique Régions AWS. Vous pouvez le trouver dans la section Resource (Ressource) d'une stratégie IAM.

Assurez-vous que les politiques clés de la clé KMS autorisent les autorisations nécessaires. Pour cela, nommez les mandataires qui produisent et consomment des messages chiffrés dans Amazon SNS en tant qu’utilisateurs dans la stratégie de clé KMS.

Pour permettre la compatibilité entre la détection AWS des anomalies de coût et les rubriques Amazon SNS chiffrées

Cliquez sur Create a KMS key (Créer une clé KMS).
Ajoutez l'une des politiques suivantes en tant que stratégie clé KMS :

Pour accorder au service de détection des anomalies de AWS coût l'accès à la clé KMS, utilisez l'instruction suivante.
```
{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "costalerts.amazonaws.com"
        },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
        ],
    "Resource": "*"
    }]
    }
```
Pour autoriser le service de détection des anomalies de AWS coût à accéder à la clé KMS uniquement lorsque vous effectuez des opérations pour le compte d'un certain compte, utilisez l'instruction suivante.
```
{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "costalerts.amazonaws.com"
        },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
        ],
    	"Resource": "*",
    	"Condition": {
        	"StringEquals": {
          		"aws:SourceAccount": [
            			"account-ID"
          		]
        	}
    	}
    }]
}
```
Note
Dans cette politique de clé KMS, vous entrez l'ID de compte de l'abonnement comme valeur de la aws:SourceAccount condition. Cette condition fait en sorte que AWS Cost Anomaly Detection interagisse avec la clé KMS uniquement lors de l'exécution d'opérations pour le compte propriétaire de l'abonnement.
Pour que AWS Cost Anomaly Detection interagisse avec la clé KMS uniquement lors de l'exécution d'opérations pour le compte d'un abonnement spécifique, utilisez la aws:SourceArn condition prévue dans la politique relative aux clés KMS.
Pour plus d'informations sur ces conditions, consultez aws:SourceAccountet consultez aws:SourceArnle guide de l'utilisateur IAM.
Si vous utilisez la politique des clés KMS avec aws:SourceAccount cette condition, remplacez Account-ID par l'ID du compte propriétaire de l'abonnement. Si la rubrique Amazon SNS comporte plusieurs abonnements provenant de différents comptes, ajoutez plusieurs identifiants de compte à la aws:SourceAccount condition.
Activer SSE pour votre rubrique SNS.

Note
Assurez-vous d'utiliser la même clé KMS qui autorise AWS Cost Anomaly Detection à publier sur des sujets Amazon SNS chiffrés.
Choisissez Save Changes (Enregistrer les modifications).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Modification de vos alertes

Réception d'alertes d'anomalies dans Amazon Chime et Slack