Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance des changements de statut de Systems Manager à l'aide SNS des notifications Amazon
Note
Les FIFO rubriques Amazon Simple Notification Service ne sont pas prises en charge.
Vous pouvez configurer Amazon Simple Notification Service (AmazonSNS) pour envoyer des notifications concernant l'état des commandes que vous envoyez à l'aide de Run Command or Maintenance Windows, qui sont des capacités de AWS Systems Manager. Amazon SNS coordonne et gère l'envoi et la livraison de notifications aux clients ou aux points de terminaison abonnés aux SNS sujets Amazon. Vous pouvez recevoir une notification chaque fois qu'une commande change de statut ou passe à un statut spécifique, par exemple, Échec ou Expiré. Lorsque vous envoyez une commande à plusieurs nœuds, vous pouvez recevoir une notification pour chaque copie de la commande envoyée à un nœud spécifique. Chaque copie s'appelle un appel.
Amazon SNS peut envoyer des notifications sous forme de HTTP ou HTTPS POST d'e-mail (SMTPtexte brut ou au JSON format), ou sous forme de message publié dans une file d'attente Amazon Simple Queue Service (AmazonSQS). Pour plus d'informations, consultez What is Amazon SNS dans le guide du développeur Amazon Simple Notification Service. Pour des exemples de structure des JSON données incluses dans la SNS notification Amazon fournie par Run Command and Maintenance Windows, voir Exemples de SNS notifications Amazon pour AWS Systems Manager.
Configurer les SNS notifications Amazon pour AWS Systems Manager
Run Command and Maintenance Windows les tâches enregistrées dans une fenêtre de maintenance peuvent envoyer SNS des notifications Amazon pour les tâches de commande qui entrent dans les statuts suivants :
-
En cours
-
Réussite
-
Échec
-
Expiré
-
Annulé
Pour de plus amples informations sur les conditions qui entraînent ces changements de statut, consultez la section Comprendre les états des commandes.
Note
Commandes envoyées à l'aide de Run Command signalent également le statut Annulation et En attente. Ces statuts ne sont pas enregistrés dans les SNS notifications Amazon.
Résumé des commandes Amazon SNS Notifications
Si vous configurez Run Command ou un Run Command dans votre fenêtre de maintenance pour les SNS notifications Amazon, Amazon SNS envoie des messages récapitulatifs contenant les informations suivantes.
| Champ | Type | Description |
|---|---|---|
|
eventTime |
Chaîne |
Heure à laquelle l'événement a été initié. L'horodatage est important car Amazon SNS ne garantit pas la livraison des messages. Exemple : 2016-04-26T13:15:30Z |
|
documentName |
Chaîne |
Nom du SSM document utilisé pour exécuter cette commande. |
|
commandId |
Chaîne |
L'identifiant généré par Run Command après l'envoi de la commande. |
|
expiresAfter |
Date |
Si la date d'expiration est atteinte et que la commande n'a pas encore démarré, l'exécution n'a pas lieu. |
|
Sorties 3 BucketName |
Chaîne |
Le compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les réponses à l'exécution de la commande doivent être stockées. |
|
Sorties 3 KeyPrefix |
Chaîne |
Chemin du répertoire Amazon S3 à l'intérieur du compartiment dans lequel les réponses à l'exécution de la commande doivent être stockées. |
|
requestedDateTime |
Chaîne |
Heure et date auxquelles la demande a été envoyée à ce nœud spécifique. |
|
instanceIds |
StringList |
Nœuds qui étaient ciblés par la commande. NoteIDsLes instances ne sont incluses dans le message récapitulatif que si Run Command instance ciblée IDs directement par la tâche. IDsLes instances ne sont pas incluses dans le message récapitulatif si Run Command la tâche a été émise à l'aide d'un ciblage basé sur des balises. |
|
status |
Chaîne |
Statut de la commande. |
Notifications Amazon basées sur des invocations SNS
Si vous envoyez une commande à plusieurs nœuds, Amazon SNS peut envoyer des messages concernant chaque copie ou appel de la commande. Les messages incluent les informations suivantes.
| Champ | Type | Description |
|---|---|---|
|
eventTime |
Chaîne |
Heure à laquelle l'événement a été initié. L'horodatage est important car Amazon SNS ne garantit pas la livraison des messages. Exemple : 2016-04-26T13:15:30Z |
|
documentName |
Chaîne |
Nom du document Systems Manager (SSMdocument) utilisé pour exécuter cette commande. |
|
requestedDateTime |
Chaîne |
Heure et date auxquelles la demande a été envoyée à ce nœud spécifique. |
|
commandId |
Chaîne |
L'identifiant généré par Run Command après l'envoi de la commande. |
|
instanceId |
Chaîne |
Instance qui était ciblée par la commande. |
|
status |
Chaîne |
Statut de la commande pour cet appel. |
Pour configurer SNS les notifications Amazon lorsqu'une commande change de statut, effectuez les tâches suivantes.
Note
Si vous ne configurez pas SNS les notifications Amazon pour votre fenêtre de maintenance, vous pouvez ignorer la tâche 5 plus loin dans cette rubrique.
Rubriques
- Tâche 1 : créer un SNS sujet Amazon et s'y abonner
- Tâche 2 : créer une IAM politique pour les SNS notifications Amazon
- Tâche 3 : créer un IAM rôle pour les SNS notifications Amazon
- Tâche 4 : Configuration de l'accès utilisateur
- Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance
Tâche 1 : créer un SNS sujet Amazon et s'y abonner
Un SNS sujet Amazon est un canal de communication qui Run Command and Run Command les tâches enregistrées dans une fenêtre de maintenance sont utilisées pour envoyer des notifications concernant l'état de vos commandes. Amazon SNS prend en charge différents protocoles de communication, notamment HTTP /S, le courrier électronique et d'autres protocoles Services AWS tels qu'Amazon Simple Queue Service (AmazonSQS). Pour commencer, nous vous recommandons de commencer par le protocole de messagerie. Pour plus d'informations sur la création d'un sujet, consultez la section Création d'un SNS sujet Amazon dans le manuel Amazon Simple Notification Service Developer Guide.
Note
Après avoir créé le sujet, copiez-le ou notez-le ARN. Vous le spécifiez ARN lorsque vous envoyez une commande configurée pour renvoyer des notifications d'état.
Une fois que vous avez créé la rubrique, vous devez vous y abonner en spécifiant un Point de terminaison. Si vous avez choisi le protocole de messagerie, le point de terminaison est l'adresse e-mail à laquelle vous souhaitez recevoir des notifications. Pour plus d'informations sur la façon de s'abonner à un sujet, consultez la section S'abonner à un SNS sujet Amazon dans le manuel Amazon Simple Notification Service Developer Guide.
Amazon SNS envoie un e-mail de confirmation depuis AWS Notifications à l'adresse e-mail que vous avez spécifiée. Ouvrez cet e-mail et sélectionnez le lien Confirm subscription (Confirmer l'abonnement).
Vous recevrez un message d'accusé de réception de AWS. Amazon SNS est désormais configuré pour recevoir des notifications et les envoyer sous forme d'e-mail à l'adresse e-mail que vous avez spécifiée.
Tâche 2 : créer une IAM politique pour les SNS notifications Amazon
Utilisez la procédure suivante pour créer une politique personnalisée AWS Identity and Access Management (IAM) qui fournit des autorisations pour lancer des notifications AmazonSNS.
Pour créer une IAM politique personnalisée pour les SNS notifications Amazon
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Policies, puis Create Policy. (Si un bouton Get Started (Mise en route) est affiché, sélectionnez-le, puis sélectionnez Create Policy [Créer une politique].)
-
Choisissez l'JSONonglet.
-
Remplacez le contenu par défaut par la commande suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:" } ] }region:account-id:sns-topic-nameregionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exempleus-east-2pour la région USA Est (Ohio). Pour une liste des produits pris en chargeregionvaleurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.account-id123456789012.sns-topic-namereprésente le nom de la SNS rubrique Amazon que vous souhaitez utiliser pour publier des notifications. -
Choisissez Suivant : Balises.
-
(Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette politique.
-
Choisissez Suivant : vérification.
-
Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne. olpPar exemple :
my-sns-publish-permissions. -
(Facultatif) Dans le champ Description, saisissez une description pour la politique.
-
Choisissez Create Policy (Créer une politique).
Tâche 3 : créer un IAM rôle pour les SNS notifications Amazon
Utilisez la procédure suivante pour créer un IAM rôle pour les SNS notifications Amazon. Ce rôle de service est utilisé par Systems Manager pour lancer SNS les notifications Amazon. Dans toutes les procédures suivantes, ce rôle est appelé SNS IAM rôle Amazon.
Pour créer un rôle IAM de service pour les SNS notifications Amazon
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.
-
Choisissez le type de rôle du Service AWS, puis choisissez Systems Manager.
-
Choisissez le cas d'utilisation de Systems Manager. Ensuite, choisissez Suivant.
-
Sur la page Attacher des politiques d'autorisations, cochez la case située à gauche du nom de la politique personnalisée que vous avez créée à la tâche 2. olpPar exemple :
my-sns-publish-permissions. -
(Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
Développez la section Permissions boundary (Limite d'autorisations) et sélectionnez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAMinclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
-
Choisissez Suivant.
-
Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés
PRODROLEetprodrole. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création. -
(Facultatif) Pour Description, saisissez une description pour le nouveau rôle.
-
Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Select permissions (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
-
(Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez les IAMressources relatives au balisage dans le guide de l'IAMutilisateur.
-
Passez en revue les informations du rôle, puis choisissez Créer un rôle.
-
Choisissez le nom du rôle, puis copiez ou notez la ARN valeur du rôle. Ce nom de ressource Amazon (ARN) pour le rôle est utilisé lorsque vous envoyez une commande configurée pour renvoyer SNS des notifications Amazon.
-
La page Summary (Récapitulatif) s'ouvre.
Tâche 4 : Configuration de l'accès utilisateur
Si des autorisations d'administrateur sont attribuées à une IAM entité (utilisateur, rôle ou groupe), l'utilisateur ou le rôle a accès à Run Command and Maintenance Windows, capacités de AWS Systems Manager.
Pour les entités sans autorisations d'administrateur, un administrateur doit accorder les autorisations suivantes à l'IAMentité :
-
La politique gérée
AmazonSSMFullAccess, ou une politique qui fournit des autorisations comparables. -
Les autorisations
iam:PassRolepour le rôle créé dans Tâche 3 : créer un IAM rôle pour les SNS notifications Amazon. Par exemple :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/sns-role-name" } ] }
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Pour configurer l'accès utilisateur et associer la politique iam:PassRole à un compte utilisateur
-
Dans le volet de IAM navigation, choisissez Utilisateurs, puis choisissez le compte utilisateur que vous souhaitez configurer.
-
Sous l'onglet Permissions (Autorisations), dans la liste des politiques, vérifiez que la politique
AmazonSSMFullAccessest répertoriée ou qu'une politique comparable autorise le compte à accéder à Systems Manager. -
Sélectionnez Ajouter une politique en ligne.
-
Dans la page Créer une politique, sélectionnez l'onglet Éditeur visuel.
-
Choisissez Choisir un service, puis choisissez IAM.
-
Pour Actions, dans la zone de texte Filtrer les actions
PassRole, entrez, puis cochez la case à côté de PassRole. -
Pour les ressources, vérifiez que Spécifique est sélectionné, puis choisissez Ajouter ARN.
-
Dans le champ Spécifier ARN le rôle, collez le SNS IAM rôle Amazon ARN que vous avez copié à la fin de la tâche 3. Le système remplit automatiquement les champs Account (Compte) et Role name with path (Nom du rôle avec chemin d'accès).
-
Choisissez Ajouter.
-
Sélectionnez Review policy (Examiner une politique).
-
Sur la page Review Policy (Examiner une politique), saisissez un nom, puis choisissez Create Policy (Créer une politique).
Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance
Lorsque vous enregistrez un Run Command tâche avec une fenêtre de maintenance, vous spécifiez un rôle de service Amazon Resource Name (ARN). Ce rôle de service est utilisé par Systems Manager pour exécuter des tâches enregistrées auprès de la fenêtre de maintenance. Pour configurer les SNS notifications Amazon pour un utilisateur enregistré Run Command tâche, attachez une iam:PassRole politique au rôle de service de fenêtre de maintenance spécifié. Si vous n'avez pas l'intention de configurer la tâche enregistrée pour SNS les notifications Amazon, vous pouvez ignorer cette tâche.
La iam:PassRole politique permet Maintenance Windows rôle de service pour transmettre le SNS IAM rôle Amazon créé dans la tâche 3 au SNS service Amazon. La procédure suivante montre comment associer la iam:PassRole politique à Maintenance Windows rôle de service.
Note
Utilisez un rôle de service personnalisé pour votre fenêtre de maintenance afin d'envoyer des notifications relatives au Run Command tâches enregistrées. Pour plus d’informations, veuillez consulter Configuration de Maintenance Windows.
Si vous devez créer une fonction du service personnalisée pour les tâches de la fenêtre de maintenance, consultez la rubrique Configuration de Maintenance Windows.
Pour joindre la iam:PassRole politique à votre Maintenance Windows rôle
-
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Roles et sélectionnez le SNS IAM rôle Amazon créé dans Task 3.
-
Copiez ou notez le rôle ARN et revenez à la section Rôles de la IAM console.
-
Sélectionnez la personnalisation Maintenance Windows rôle de service que vous avez créé à partir de la liste des noms de rôle.
-
Dans l'onglet Permissions, vérifiez que la
AmazonSSMMaintenanceWindowRolepolitique est répertoriée ou qu'il existe une politique comparable qui autorise le Systems Manager dans le cadre des fenêtres de maintenanceAPI. Si ce n'est pas le cas, choisissez Attacher des politiques pour l'attacher. -
Choisissez Add permissions, Create inline policy (Ajouter des autorisations, Créer une politique en ligne).
-
Sélectionnez l'onglet Visual Editor.
-
Pour Service , choisissez IAM.
-
Pour Actions, dans la zone de texte Filtrer les actions
PassRole, entrez, puis cochez la case à côté de PassRole. -
Pour Ressources, sélectionnez Spécifique, puis cliquez sur Ajouter ARN.
-
Dans la zone Spécifier ARN le rôle, collez le ARN SNS IAM rôle Amazon créé dans la tâche 3, puis choisissez Ajouter.
-
Sélectionnez Review policy (Examiner une politique).
-
Sur la page Examiner une politique indiquez un nom pour la politique
PassRole, puis sélectionnez Créer une politique.
