Configuration des rubriques Amazon SNS pour Change Manager notifications - AWS Systems Manager
Tâche 1 : Créer une rubrique Amazon SNS et s'y abonnerTâche 2 : Mise à jour de la politique d'accès Amazon SNSTâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des rubriques Amazon SNS pour Change Manager notifications

Vous pouvez configurer Change Manager, un outil permettant d'envoyer des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) concernant des événements liés aux demandes de modification et aux modèles de modification. AWS Systems Manager Effectuez les tâches suivantes pour recevoir des notifications pour le Change Manager événements auxquels vous ajoutez un sujet.

Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner

Pour commencer, vous devez créer une rubrique Amazon SNS à laquelle vous vous abonnez. Pour plus d'informations, consultez Création d'une rubrique Amazon SNS et Abonnement à une rubrique Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Note

Pour recevoir des notifications, vous devez spécifier le nom de ressource Amazon (ARN) d'une rubrique Amazon SNS figurant dans le même compte Région AWS et en Compte AWS tant qu'administrateur délégué.

Tâche 2 : Mise à jour de la politique d'accès Amazon SNS

Utilisez la procédure suivante pour mettre à jour la politique d'accès Amazon SNS afin que Systems Manager puisse publier Change Manager notifications relatives à la rubrique Amazon SNS que vous avez créée dans le cadre de la tâche 1. Sans terminer cette tâche, Change Manager n'est pas autorisé à envoyer des notifications pour les événements pour lesquels vous ajoutez le sujet.

  1. Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la sur v3/home. https://console.aws.amazon.com/sns/

  2. Dans le panneau de navigation, sélectionnez Topics (Rubriques).

  3. Sélectionnez la rubrique que vous avez créée dans la tâche 1, puis sélectionnez Edit (Modifier).

  4. Développez la politique d'accès.

  5. Ajoutez et mettez à jour le Sid bloc suivant à la politique existante et remplacez-le user input placeholder par vos propres informations.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Entrez ce bloc après le Sid bloc existant, et remplacez-le par region topic-name les valeurs appropriées pour le sujet que vous avez créé. account-id

  6. Sélectionnez Enregistrer les modifications.

Le système enverra maintenant des notifications à la rubrique Amazon SNS lorsque le type d'événement que vous ajoutez à la rubrique se produira.

Important

Si vous avez configuré la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS), vous devez effectuer la tâche 3.

Tâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès

Si vous avez activé AWS Key Management Service (AWS KMS) le chiffrement côté serveur pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès que vous avez choisie lors de AWS KMS key la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier Change Manager notifications d'approbation relatives à la rubrique Amazon SNS que vous avez créée dans le cadre de la tâche 1.

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  3. Sélectionnez l'ID de la clé gérée par le client que vous avez choisie lors de la création de la rubrique.

  4. Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).

  5. Choisissez Modifier.

  6. Entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique existante. Remplacez chaque user input placeholder par vos propres informations.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Maintenant, entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique de ressources pour aider à prévenir le problème du député confus entre services.

    Ce bloc utilise les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount pour limiter les autorisations que Systems Manager accorde à un autre service pour la ressource.

    Remplacez chaque user input placeholder par vos propres informations.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Sélectionnez Enregistrer les modifications.