Autorisations pour les SNS sujets Amazon - Amazon DevOps Guru
Configuration des autorisations pour un SNS sujet Amazon dans un autre compteAjouter un SNS sujet Amazon depuis un autre compteMettre à jour votre SNS politique Amazon avec un canal de notification (recommandé)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour les SNS sujets Amazon

Utilisez les informations de cette rubrique uniquement si vous souhaitez configurer Amazon DevOps Guru pour envoyer des notifications aux SNS sujets Amazon appartenant à un autre AWS compte.

Pour que DevOps Guru envoie des notifications à un SNS sujet Amazon appartenant à un autre compte, vous devez associer au SNS sujet Amazon une politique autorisant DevOps Guru à lui envoyer des notifications. Si vous configurez DevOps Guru pour envoyer des notifications aux SNS sujets Amazon appartenant au même compte que celui que vous utilisez pour DevOps Guru, DevOps Guru ajoute une politique aux sujets pour vous.

Après avoir joint une politique pour configurer les autorisations pour un SNS sujet Amazon dans un autre compte, vous pouvez ajouter le SNS sujet Amazon dans DevOps Guru. Vous pouvez également mettre à jour votre SNS politique Amazon à l'aide d'un canal de notification pour la rendre plus sûre.

Note

DevOpsGuru ne prend actuellement en charge que l'accès entre comptes dans la même région.

Configuration des autorisations pour un SNS sujet Amazon dans un autre compte

Ajouter des autorisations en tant que IAM rôle

Pour utiliser un SNS sujet Amazon depuis un autre compte après vous être connecté avec un IAM rôle, vous devez associer une politique au SNS sujet Amazon que vous souhaitez utiliser. Pour associer une politique à un SNS sujet Amazon depuis un autre compte lorsque vous utilisez un IAM rôle, vous devez disposer des autorisations suivantes pour cette ressource de compte dans le cadre de votre IAM rôle :

  • sns : CreateTopic

  • sns : GetTopicAttributes

  • sns : SetTopicAttributes

  • sns:Publish

Joignez la politique suivante à la SNS rubrique Amazon que vous souhaitez utiliser. Pour la Resource clé, topic-owner-account-id est l'identifiant de compte du propriétaire du sujet, topic-sender-account-id est l'identifiant de compte de l'utilisateur qui a configuré DevOps Guru, et devops-guru-role est le IAM rôle de l'utilisateur individuel concerné. Vous devez remplacer les valeurs appropriées par region-id (par exemple,us-west-2), et my-topic-name. 


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:role/devops-guru-role"]
             }
         }
     ]
 }

Ajouter des autorisations en tant qu'IAMutilisateur

Pour utiliser un SNS sujet Amazon depuis un autre compte en tant qu'IAMutilisateur, associez la politique suivante au SNS sujet Amazon que vous souhaitez utiliser. Pour la Resource clé, topic-owner-account-id est l'identifiant de compte du propriétaire du sujet, topic-sender-account-id est l'identifiant de compte de l'utilisateur qui a configuré DevOps Guru, et devops-guru-user-name est l'IAMutilisateur individuel concerné. Vous devez remplacer les valeurs appropriées par region-id (par exemple,us-west-2) et my-topic-name.

Note

Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès. Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.


 {
     "Version": "2012-10-17",
     "Statement": [{
             "Sid": "EnableDevOpsGuruServicePrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "Service": "region-id.devops-guru.amazonaws.com"
             },
             "Condition": {
                 "StringEquals": {
                     "AWS:SourceAccount": "topic-sender-account-id"
                 }
             }
         },
         {
             "Sid": "EnableAccountPrincipal",
             "Action": "sns:Publish",
             "Effect": "Allow",
             "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
             "Principal": {
                 "AWS": ["arn:aws:iam::topic-sender-account-id:user/devops-guru-user-name"]
             }
         }
     ]
 }

Ajouter un SNS sujet Amazon depuis un autre compte

Après avoir configuré les autorisations pour un SNS sujet Amazon dans un autre compte, vous pouvez ajouter ce SNS sujet Amazon à vos paramètres de notification DevOps Guru. Vous pouvez ajouter le SNS sujet Amazon à l'aide de la console AWS CLI ou de la console DevOps Guru.

  • Lorsque vous utilisez la console, vous devez sélectionner l'option Utiliser un SNS sujet ARN pour spécifier un sujet existant afin d'utiliser un sujet provenant d'un autre compte.

  • Lorsque vous utilisez l' AWS CLI opération add-notification-channel, vous devez spécifier l'TopicArnintérieur de l'NotificationChannelConfigobjet.

Ajouter un SNS sujet Amazon depuis un autre compte à l'aide de la console

  1. Ouvrez la console Amazon DevOps Guru à l'adresse https://console.aws.amazon.com/devops-guru/.

  2. Ouvrez le volet de navigation, puis sélectionnez Paramètres.

  3. Accédez à la section Notifications et choisissez Modifier.

  4. Choisissez Ajouter un SNS sujet.

  5. Choisissez Utiliser un SNS sujet ARN pour spécifier un sujet existant.

  6. Entrez ARN le SNS sujet Amazon que vous souhaitez utiliser. Vous devez déjà avoir configuré les autorisations pour cette rubrique en y attachant une politique.

  7. (Facultatif) Choisissez Configuration des notifications pour modifier les paramètres de fréquence des notifications.

  8. Choisissez Save (Enregistrer).

Une fois que vous avez ajouté le SNS sujet Amazon à vos paramètres de notification, DevOps Guru utilise ce sujet pour vous informer des événements importants, tels que la création d'un nouvel aperçu.

Mettre à jour votre SNS politique Amazon avec un canal de notification (recommandé)

Après avoir ajouté un sujet, nous vous recommandons de renforcer la sécurité de votre politique en spécifiant des autorisations uniquement pour le canal de notification DevOps Guru qui contient votre sujet.

Mettez à jour votre politique SNS thématique Amazon avec un canal de notification (recommandé)

  1. Exécutez la AWS CLI commande list-notification-channels DevOps Guru dans le compte à partir duquel vous souhaitez envoyer des notifications.

    aws devops-guru list-notification-channels

  2. Dans la list-notification-channels réponse, notez l'ID de chaîne qui contient celui de votre SNS sujet AmazonARN. L'identifiant du canal est un guide.

    Par exemple, dans la réponse suivante, l'ID de canal pour le sujet avec le code ARN arn:aws:sns:region-id:111122223333:topic-name est e89be5f7-989d-4c4c-b1fe-e7145037e531

    {
  "Channels": [
    {
      "Id": "e89be5f7-989d-4c4c-b1fe-e7145037e531",
      "Config": {
      "Sns": {
          "TopicArn": "arn:aws:sns:region-id:111122223333:topic-name"
        },
      "Filters": {
          "MessageTypes": ["CLOSED_INSIGHT", "NEW_INSIGHT", "SEVERITY_UPGRADED"],
          "Severities": ["HIGH", "MEDIUM"]
        }
      }
    }
  ]
}

  3. Accédez à la politique que vous avez créée dans un autre compte à l'aide de l'identifiant du propriétaire du sujet dansConfiguration des autorisations pour un SNS sujet Amazon dans un autre compte. Dans l'Conditionénoncé de la politique, ajoutez la ligne qui spécifie leSourceArn. ARNIl contient votre identifiant de région (par exemple,us-east-1), le numéro de AWS compte de l'expéditeur du sujet et l'identifiant de chaîne que vous avez noté.

    Votre Condition relevé mis à jour ressemble à ce qui suit.

    "Condition" : {
  "StringEquals" : {
    "AWS:SourceArn": "arn:aws:devops-guru:us-east-1:111122223333:channel/e89be5f7-989d-4c4c-b1fe-e7145037e531",
    "AWS:SourceAccount": "111122223333"
   } 
 }

Si vous AddNotificationChannel ne parvenez pas à ajouter votre SNS sujet, vérifiez que votre IAM politique dispose des autorisations suivantes.

{
     "Version": "2012-10-17",
     "Statement": [{
           "Sid": "DevOpsGuruTopicPermissions",
           "Effect": "Allow",
           "Action": [
                 "sns:CreateTopic",
                 "sns:GetTopicAttributes",
                 "sns:SetTopicAttributes",
                 "sns:Publish"
           ],
           "Resource": "arn:aws:sns:region-id:account-id:my-topic-name"
     }]
}