Izin untuk Topik Amazon SNS - AWS Config
Saat Menggunakan IAM PeranSaat Menggunakan Peran Tertaut LayananPemberian AWS Config aksesPemecahan Masalah untuk Topik Amazon SNS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk Topik Amazon SNS

Topik ini menjelaskan cara mengkonfigurasi AWS Config untuk menyampaikan SNS topik Amazon yang dimiliki oleh akun yang berbeda. AWS Config harus memiliki izin yang diperlukan untuk mengirim pemberitahuan ke SNS topik Amazon. Untuk pengaturan akun yang sama, saat AWS Config konsol membuat SNS topik Amazon atau Anda memilih SNS topik Amazon dari akun Anda sendiri, AWS Config memastikan bahwa SNS topik Amazon menyertakan izin yang diperlukan dan mengikuti praktik terbaik keamanan.

catatan

AWS Config saat ini hanya mendukung akses di Wilayah yang sama dan di seluruh akun. SNStopik yang digunakan untuk remediasi AWS Systems Manager (SSM) dokumen atau untuk saluran pengiriman perekam tidak dapat lintas wilayah.

Izin yang Diperlukan untuk SNS Topik Amazon Saat Menggunakan IAM Peran

Anda dapat melampirkan kebijakan izin ke SNS topik Amazon yang dimiliki oleh akun lain. Jika Anda ingin menggunakan SNS topik Amazon dari akun lain, pastikan untuk melampirkan kebijakan berikut ke SNS topik Amazon yang ada.

{
  "Id": "Policy_ID",
  "Statement": [
    {
      "Sid": "AWSConfigSNSPolicy",
      "Action": [
        "sns:Publish"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
      "Principal": {
        "AWS": [
          "account-id1",
          "account-id2",
          "account-id3"
        ]
      }
    }
  ]
}

Untuk Resource kuncinya, account-id adalah AWS nomor akun pemilik topik. Untuk account-id1, account-id2, dan account-id3, gunakan Akun AWS yang akan mengirim data ke SNS topik Amazon. Anda dapat mengganti nilai yang sesuai untuk region and myTopic.

Saat AWS Config mengirim pemberitahuan ke SNS topik Amazon, pertama kali mencoba menggunakan IAM peran, tetapi upaya ini gagal jika peran atau Akun AWS tidak memiliki izin untuk mempublikasikan ke topik. Dalam acara ini, AWS Config mengirimkan notifikasi lagi, kali ini sebagai AWS Config nama utama layanan (SPN). Sebelum publikasi dapat berhasil, kebijakan akses untuk topik harus memberikan sns:Publish akses ke nama config.amazonaws.com utama. Anda harus melampirkan kebijakan akses, yang dijelaskan di bagian berikutnya, ke SNS topik Amazon untuk diberikan AWS Config akses ke SNS topik Amazon jika IAM peran tidak memiliki izin untuk mempublikasikan ke topik.

Izin yang Diperlukan untuk SNS Topik Amazon Saat Menggunakan Peran Tertaut Layanan

Bagian AWS Config peran terkait layanan tidak memiliki izin untuk mengakses topik AmazonSNS. Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan ()SLR, AWS Config akan mengirimkan informasi sebagai AWS Config prinsipal layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke SNS topik Amazon untuk diberikan AWS Config akses untuk mengirim informasi ke SNS topik Amazon.

Untuk pengaturan akun yang sama, ketika SNS topik Amazon dan SLR berada di akun yang sama dan SNS kebijakan Amazon memberikan izin SLR sns:Publish "”, Anda tidak perlu menggunakan AWS Config SPN. Kebijakan izin di bawah ini dan rekomendasi praktik terbaik keamanan adalah untuk penyiapan lintas akun.

Pemberian AWS Config akses ke SNS topik Amazon.

Kebijakan ini memungkinkan AWS Config untuk mengirim pemberitahuan ke SNS topik Amazon. Untuk memberikan AWS Config akses ke SNS topik Amazon dari akun lain, Anda harus melampirkan kebijakan izin berikut.

catatan

Sebagai praktik keamanan terbaik, sangat disarankan untuk memastikan AWS Config mengakses sumber daya atas nama pengguna yang diharapkan hanya dengan membatasi akses ke akun yang tercantum dalam AWS:SourceAccount kondisi.

{
"Id": "Policy_ID",
"Statement": [
  {
    "Sid": "AWSConfigSNSPolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "config.amazonaws.com"
    },
    "Action": "sns:Publish",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
        "Condition" : {
        "StringEquals": {
          "AWS:SourceAccount": [
            "account-id1",
            "account-id2",
            "account-id3"
          ]
        }
      }
    }
  ]
}

Untuk Resource kuncinya, account-id adalah AWS nomor akun pemilik topik. Untuk account-id1, account-id2, dan account-id3, gunakan Akun AWS yang akan mengirim data ke SNS topik Amazon. Anda dapat mengganti nilai yang sesuai untuk region and myTopic.

Anda dapat menggunakan AWS:SourceAccount kondisi dalam kebijakan SNS topik Amazon sebelumnya untuk membatasi AWS Config nama utama layanan (SPN) untuk berinteraksi hanya dengan SNS topik Amazon saat melakukan operasi atas nama akun tertentu.

AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi AWS Config nama utama layanan (SPN) untuk hanya berinteraksi dengan bucket S3 saat melakukan operasi atas nama tertentu AWS Config saluran pengiriman. Saat menggunakan AWS Config nama utama layanan (SPN), AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion adalah Wilayah saluran pengiriman dan sourceAccountID merupakan ID akun yang berisi saluran pengiriman. Untuk informasi lebih lanjut tentang AWS Config saluran pengiriman, lihat Mengelola Saluran Pengiriman. Misalnya, tambahkan kondisi berikut untuk membatasi AWS Config nama utama layanan (SPN) untuk berinteraksi dengan bucket S3 Anda hanya atas nama saluran pengiriman di us-east-1 Wilayah di akun123456789012:"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

Pemecahan Masalah untuk Topik Amazon SNS

AWS Config harus memiliki izin untuk mengirim pemberitahuan ke SNS topik Amazon. Jika SNS topik Amazon tidak dapat menerima pemberitahuan, verifikasi bahwa IAM peran itu AWS Config dengan asumsi memiliki sns:Publish izin yang diperlukan.