Izin untuk Topik Amazon SNS - AWS Config
Saat Menggunakan IAM PeranSaat Menggunakan Peran Tertaut LayananMemberikan akses AWS Config Pemecahan Masalah untuk Topik Amazon SNS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk Topik Amazon SNS

Topik ini menjelaskan cara mengonfigurasi AWS Config untuk mengirimkan SNS topik Amazon yang dimiliki oleh akun lain. AWS Config harus memiliki izin yang diperlukan untuk mengirim pemberitahuan ke SNS topik Amazon. Untuk penyiapan akun yang sama, saat AWS Config konsol membuat SNS topik Amazon atau Anda memilih SNS topik Amazon dari akun Anda sendiri, AWS Config pastikan bahwa SNS topik Amazon menyertakan izin yang diperlukan dan mengikuti praktik terbaik keamanan.

catatan

AWS Config saat ini hanya mendukung akses di Wilayah yang sama dan di seluruh akun. SNStopik yang digunakan untuk remediasi AWS Systems Manager (SSM) dokumen atau untuk saluran pengiriman perekam tidak dapat lintas wilayah.

Izin yang Diperlukan untuk SNS Topik Amazon Saat Menggunakan IAM Peran

Anda dapat melampirkan kebijakan izin ke SNS topik Amazon yang dimiliki oleh akun lain. Jika Anda ingin menggunakan SNS topik Amazon dari akun lain, pastikan untuk melampirkan kebijakan berikut ke SNS topik Amazon yang ada.

{
  "Id": "Policy_ID",
  "Statement": [
    {
      "Sid": "AWSConfigSNSPolicy",
      "Action": [
        "sns:Publish"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
      "Principal": {
        "AWS": [
          "account-id1",
          "account-id2",
          "account-id3"
        ]
      }
    }
  ]
}

Untuk Resource kuncinya, account-id adalah nomor AWS akun pemilik topik. Untuk account-id1, account-id2, dan account-id3, gunakan Akun AWS yang akan mengirim data ke SNS topik Amazon. Anda dapat mengganti nilai yang sesuai untuk region and myTopic.

Saat AWS Config mengirim pemberitahuan ke SNS topik Amazon, pertama-tama mencoba menggunakan IAM peran tersebut, tetapi upaya ini gagal jika peran tersebut atau Akun AWS tidak memiliki izin untuk mempublikasikan ke topik tersebut. Dalam hal ini, AWS Config mengirimkan notifikasi lagi, kali ini sebagai nama utama AWS Config layanan (SPN). Sebelum publikasi dapat berhasil, kebijakan akses untuk topik harus memberikan sns:Publish akses ke nama config.amazonaws.com utama. Anda harus melampirkan kebijakan akses, yang dijelaskan di bagian berikutnya, ke SNS topik Amazon untuk memberikan AWS Config akses ke SNS topik Amazon jika IAM peran tersebut tidak memiliki izin untuk mempublikasikan ke topik tersebut.

Izin yang Diperlukan untuk SNS Topik Amazon Saat Menggunakan Peran Tertaut Layanan

Peran AWS Config terkait layanan tidak memiliki izin untuk mengakses topik AmazonSNS. Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan (SLR), AWS Config akan mengirimkan informasi sebagai prinsipal AWS Config layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke SNS topik Amazon untuk memberikan AWS Config akses untuk mengirim informasi ke SNS topik Amazon.

Untuk pengaturan akun yang sama, ketika SNS topik Amazon dan SLR berada di akun yang sama dan SNS kebijakan Amazon memberikan izin SLR "sns:Publish", Anda tidak perlu menggunakan. AWS Config SPN Kebijakan izin di bawah ini dan rekomendasi praktik terbaik keamanan adalah untuk penyiapan lintas akun.

Memberikan AWS Config akses ke SNS topik Amazon.

Kebijakan ini memungkinkan AWS Config untuk mengirim pemberitahuan ke SNS topik Amazon. Untuk memberikan AWS Config akses ke SNS topik Amazon dari akun lain, Anda harus melampirkan kebijakan izin berikut.

catatan

Sebagai praktik keamanan terbaik, sangat disarankan untuk memastikan AWS Config mengakses sumber daya atas nama pengguna yang diharapkan hanya dengan membatasi akses ke akun yang tercantum dalam AWS:SourceAccount kondisi.

{
"Id": "Policy_ID",
"Statement": [
  {
    "Sid": "AWSConfigSNSPolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "config.amazonaws.com"
    },
    "Action": "sns:Publish",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
        "Condition" : {
        "StringEquals": {
          "AWS:SourceAccount": [
            "account-id1",
            "account-id2",
            "account-id3"
          ]
        }
      }
    }
  ]
}

Untuk Resource kuncinya, account-id adalah nomor AWS akun pemilik topik. Untuk account-id1, account-id2, dan account-id3, gunakan Akun AWS yang akan mengirim data ke SNS topik Amazon. Anda dapat mengganti nilai yang sesuai untuk region and myTopic.

Anda dapat menggunakan AWS:SourceAccount kondisi dalam kebijakan SNS topik Amazon sebelumnya untuk membatasi nama utama AWS Config layanan (SPN) agar hanya berinteraksi dengan SNS topik Amazon saat melakukan operasi atas nama akun tertentu.

AWS Config juga mendukung AWS:SourceArn kondisi yang membatasi nama utama AWS Config layanan (SPN) untuk hanya berinteraksi dengan bucket S3 saat melakukan operasi atas nama saluran AWS Config pengiriman tertentu. Saat menggunakan nama utama AWS Config layanan (SPN), AWS:SourceArn properti akan selalu diatur ke arn:aws:config:sourceRegion:sourceAccountID:* mana sourceRegion adalah Wilayah saluran pengiriman dan sourceAccountID merupakan ID akun yang berisi saluran pengiriman. Untuk informasi selengkapnya tentang saluran AWS Config pengiriman, lihat Mengelola Saluran Pengiriman. Misalnya, tambahkan kondisi berikut untuk membatasi nama utama AWS Config layanan (SPN) agar berinteraksi dengan bucket S3 Anda hanya atas nama saluran pengiriman di us-east-1 Wilayah di akun123456789012:. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Pemecahan Masalah untuk Topik Amazon SNS

AWS Config harus memiliki izin untuk mengirim pemberitahuan ke SNS topik Amazon. Jika SNS topik Amazon tidak dapat menerima pemberitahuan, verifikasi bahwa IAM peran yang AWS Config diasumsikan memiliki sns:Publish izin yang diperlukan.