Autoriser Amazon Managed Service for Prometheus à envoyer des messages d'alerte à votre rubrique Amazon SNS - Amazon Managed Service for Prometheus
Prévention du cas de figure de l’adjoint désorienté entre services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser Amazon Managed Service for Prometheus à envoyer des messages d'alerte à votre rubrique Amazon SNS

Vous devez autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS. La déclaration de politique suivante donnera cette autorisation. Il comprend une Condition déclaration visant à prévenir un problème de sécurité connu sous le nom de problème de confusion des adjoints. L’instruction Condition restreint l’accès à la rubrique Amazon SNS pour autoriser uniquement les opérations provenant de ce compte spécifique et de l’espace de travail Amazon Managed Service for Prometheus. Pour de plus amples informations sur le problème de l’adjoint confus, veuillez consulter Prévention du cas de figure de l’adjoint désorienté entre services.

Pour autoriser Amazon Managed Service for Prometheus à envoyer des messages à votre rubrique Amazon SNS

  1. Ouvrez la console Amazon SNS à l'adresse v3/home. https://console.aws.amazon.com/sns/

  2. Dans le volet de navigation, choisissez Rubriques.

  3. Choisissez le nom de la rubrique que vous utilisez avec Amazon Managed Service for Prometheus.

  4. Choisissez Modifier.

  5. Choisissez Stratégie d’accès et ajoutez l’instruction de stratégie suivante à la stratégie existante.

    {
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

    [Facultatif] Si votre rubrique Amazon SNS est activée pour le chiffrement côté service (SSE), vous devez autoriser Amazon Managed Service for Prometheus à envoyer des messages à cette rubrique cryptée en ajoutant les kms:Decrypt autorisations kms:GenerateDataKey* et à la politique AWS KMS clé de la clé utilisée pour chiffrer la rubrique.

    Par exemple, vous pouvez ajouter ce qui suit à la politique :

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "aps.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}

    Pour plus d’informations, veuillez consulter la section AWS Autorisations KMS pour SNS.

  6. Sélectionnez Enregistrer les modifications.

Note

Par défaut, Amazon SNS crée la stratégie d’accès avec la condition AWS:SourceOwner. Pour plus d’informations, veuillez consulter la section SNS Access Policy.

Note

IAM suit la règle de la stratégie la plus restrictive en premier. Dans votre rubrique SNS, s’il existe un bloc de stratégie plus restrictif que le bloc de stratégie Amazon SNS documenté, l’autorisation pour la stratégie de la rubrique n’est pas accordée. Pour évaluer votre stratégie et savoir ce qui a été accordé, consultez la section Logique d’évaluation de stratégies.

Prévention du cas de figure de l’adjoint désorienté entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous vous recommandons d’utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources afin de limiter les autorisations accordées à la ressource par Amazon Managed Service for Promotheus. Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

La valeur de aws:SourceArn doit être l’ARN de l’espace de travail Amazon Managed Service for Prometheus.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l’ARN. Par exemple, arn:aws:servicename::123456789012:*.

La stratégie présentée à la section Autoriser Amazon Managed Service for Prometheus à envoyer des messages d'alerte à votre rubrique Amazon SNS montre comment utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans Amazon Managed Service for Prometheus afin d’éviter le problème de l’adjoint confus.