Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des rubriques Amazon SNS pour les notifications Change Manager
Vous pouvez configurer Change Manager, une fonctionnalité de AWS Systems Manager, pour qu'il envoie des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) à propos d'événements liés à des demandes de modifications et des modèles de modifications. Effectuez les tâches suivantes pour recevoir des notifications pour les événements Change Manager auxquels vous ajoutez une rubrique.
Rubriques
Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
Pour commencer, vous devez créer une rubrique Amazon SNS à laquelle vous vous abonnez. Pour plus d'informations, consultez Création d'une rubrique Amazon SNS et Abonnement à une rubrique Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.
Note
Pour recevoir des notifications, vous devez spécifier l'Amazon Resource Name (ARN) d'une rubrique Amazon SNS qui se trouve dans la même Région AWS et le même Compte AWS que le compte administrateur délégué.
Tâche 2 : Mise à jour de la politique d'accès Amazon SNS
Utilisez la procédure suivante pour mettre à jour la politique d'accès Amazon SNS afin que Systems Manager puisse publier les notifications Change Manager dans la rubrique Amazon SNS créée dans la tâche 1. Si cette tâche n'est pas effectuée ,Change Manager n'a pas l'autorisation d'envoyer des notifications à propos d'événements auxquels vous ajoutez la rubrique.
Connectez-vous à AWS Management Console et ouvrez la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home
. -
Dans le panneau de navigation, sélectionnez Topics (Rubriques).
-
Sélectionnez la rubrique que vous avez créée dans la tâche 1, puis sélectionnez Edit (Modifier).
-
Développez la politique d'accès.
-
Ajoutez et mettez à jour le bloc
Sid
suivant dans la politique existante, et remplacez chaqueespace réservé aux entrées utilisateur
par vos propres informations.{ "Sid": "Allow Change Manager to publish to this topic", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:
region
:account-id
:topic-name
", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id
" ] } } }Saisissez ce bloc après le bloc
Sid
existant et remplacezregion
,account-id
(ID de compte) ettopic-name
(nom de rubrique) par les valeurs appropriées pour la rubrique que vous avez créée. -
Sélectionnez Enregistrer les modifications.
Le système enverra maintenant des notifications à la rubrique Amazon SNS lorsque le type d'événement que vous ajoutez à la rubrique se produira.
Important
Si vous avez configuré la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS), vous devez terminer la tâche 3.
Tâche 3 : (facultatif) mettre à jour la politique d'accès AWS Key Management Service
Si vous avez activé le chiffrement côté serveur AWS Key Management Service (AWS KMS) pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès de la AWS KMS key que vous avez choisie lors de la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier les notifications d'approbation Change Manager dans la rubrique Amazon SNS créée dans la tâche 1.
-
Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms
. -
Dans le volet de navigation, sélectionnez Clés gérées par le client.
-
Sélectionnez l'ID de la clé gérée par le client que vous avez choisie lors de la création de la rubrique.
-
Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).
-
Sélectionnez Edit (Modifier).
-
Entrez le bloc
Sid
suivant après l'un des blocsSid
existants dans la politique existante. Remplacez chaqueespace réservé à la saisie de l'utilisateur
par vos propres informations.{ "Sid": "Allow Change Manager to decrypt the key", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id
" ] } } } -
Maintenant, entrez le bloc
Sid
suivant après l'un des blocsSid
existants dans la politique de ressources pour aider à prévenir le problème du député confus entre services.Ce bloc utilise les clés de contexte de condition globale
aws:SourceArn
etaws:SourceAccount
pour limiter les autorisations que Systems Manager accorde à un autre service pour la ressource.Remplacez chaque
espace réservé à la saisie de l'utilisateur
par vos propres informations.{ "Version": "2008-10-17", "Statement": [ { "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:
region
:account-id
:topic-name
", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:ssm:region
:account-id
:*" }, "StringEquals": { "aws:SourceAccount": "account-id
" } } } ] } -
Sélectionnez Save Changes (Enregistrer les modifications).