Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin untuk Topik Amazon SNS
**Amazon SNS terenkripsi tidak didukung**
AWS Config tidak mendukung topik Amazon SNS terenkripsi.
Topik ini menjelaskan cara mengonfigurasi AWS Config untuk mengirimkan topik Amazon SNS yang dimiliki oleh akun lain. AWS Config harus memiliki izin yang diperlukan untuk mengirim pemberitahuan ke topik Amazon SNS.
Saat AWS Config konsol membuat topik Amazon SNS baru untuk Anda, AWS Config berikan izin yang diperlukan. Jika Anda memilih topik Amazon SNS yang ada, pastikan bahwa topik Amazon SNS menyertakan izin yang diperlukan dan mengikuti praktik terbaik keamanan.
**Topik Amazon SNS Lintas Wilayah tidak didukung**
AWS Config saat ini hanya mendukung akses dalam akun yang sama Wilayah AWS dan di seluruh akun.
**Contents**
+ [Izin yang Diperlukan untuk Topik Amazon SNS Saat Menggunakan Peran IAM](#required-permissions-snstopic-in-another-account)
+ [Izin yang Diperlukan untuk Topik Amazon SNS Saat Menggunakan Peran Tertaut Layanan](#required-permissions-snstopic-using-servicelinkedrole)
+ [Memberikan AWS Config akses ke topik Amazon SNS](#granting-access-snstopic)
+ [Pemecahan Masalah untuk Topik Amazon SNS](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Izin yang Diperlukan untuk Topik Amazon SNS Saat Menggunakan Peran IAM
Anda dapat melampirkan kebijakan izin ke topik Amazon SNS yang dimiliki oleh akun lain. Jika Anda ingin menggunakan topik Amazon SNS dari akun lain, pastikan untuk melampirkan kebijakan berikut ke topik Amazon SNS yang ada.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
Untuk `Resource` kuncinya, *account-id* adalah nomor AWS akun pemilik topik. Untuk*account-id1*,*account-id2*, dan*account-id3*, gunakan Akun AWS yang akan mengirim data ke topik Amazon SNS. Anda dapat mengganti nilai yang sesuai untuk *region* dan*myTopic*.
Saat AWS Config mengirim pemberitahuan ke topik Amazon SNS, pertama kali mencoba menggunakan peran IAM, tetapi upaya ini gagal jika peran atau Akun AWS tidak memiliki izin untuk mempublikasikan ke topik tersebut. Dalam hal ini, AWS Config kirimkan notifikasi lagi, kali ini sebagai AWS Config service principal name (SPN). Sebelum publikasi dapat berhasil, kebijakan akses untuk topik harus memberikan `sns:Publish` akses ke nama `config.amazonaws.com` utama. Anda harus melampirkan kebijakan akses, yang dijelaskan di bagian berikutnya, ke topik Amazon SNS untuk memberikan AWS Config akses ke topik Amazon SNS jika peran IAM tidak memiliki izin untuk mempublikasikan ke topik tersebut.
## Izin yang Diperlukan untuk Topik Amazon SNS Saat Menggunakan Peran Tertaut Layanan
Peran AWS Config terkait layanan tidak memiliki izin untuk mengakses topik Amazon SNS. Jadi, jika Anda mengatur AWS Config menggunakan peran terkait layanan (SLR), AWS Config akan mengirim informasi sebagai prinsipal AWS Config layanan sebagai gantinya. Anda harus melampirkan kebijakan akses, yang disebutkan di bawah ini, ke topik Amazon SNS untuk memberikan AWS Config akses untuk mengirim informasi ke topik Amazon SNS.
Untuk pengaturan akun yang sama, ketika topik Amazon SNS dan SLR berada di akun yang sama dan kebijakan Amazon SNS memberikan izin `sns:Publish` “” SLR, Anda tidak perlu menggunakan SPN. AWS Config Kebijakan izin di bawah ini dan rekomendasi praktik terbaik keamanan adalah untuk penyiapan lintas akun.
## Memberikan AWS Config akses ke topik Amazon SNS
Kebijakan ini memungkinkan AWS Config untuk mengirim pemberitahuan ke topik Amazon SNS. Untuk memberikan AWS Config akses ke topik Amazon SNS dari akun lain, Anda harus melampirkan kebijakan izin berikut.
**catatan**
Sebagai praktik keamanan terbaik, sangat disarankan untuk memastikan AWS Config mengakses sumber daya atas nama pengguna yang diharapkan hanya dengan membatasi akses ke akun yang tercantum dalam `AWS:SourceAccount` kondisi.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
Untuk `Resource` kuncinya, *account-id* adalah nomor AWS akun pemilik topik. Untuk*account-id1*,*account-id2*, dan*account-id3*, gunakan Akun AWS yang akan mengirim data ke topik Amazon SNS. Anda dapat mengganti nilai yang sesuai untuk *region* dan*myTopic*.
Anda dapat menggunakan `AWS:SourceAccount` kondisi dalam kebijakan topik Amazon SNS sebelumnya untuk membatasi nama utama AWS Config layanan (SPN) agar hanya berinteraksi dengan topik Amazon SNS saat melakukan operasi atas nama akun tertentu.
AWS Config juga mendukung `AWS:SourceArn` kondisi yang membatasi nama utama AWS Config layanan (SPN) untuk hanya berinteraksi dengan bucket S3 saat melakukan operasi atas nama saluran pengiriman tertentu AWS Config . Saat menggunakan nama utama AWS Config layanan (SPN), `AWS:SourceArn` properti akan selalu diatur ke `arn:aws:config:sourceRegion:sourceAccountID:*` mana `sourceRegion` adalah Wilayah saluran pengiriman dan `sourceAccountID` merupakan ID akun yang berisi saluran pengiriman. Untuk informasi selengkapnya tentang saluran AWS Config pengiriman, lihat [Mengelola Saluran Pengiriman](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Misalnya, tambahkan kondisi berikut untuk membatasi nama utama AWS Config layanan (SPN) agar berinteraksi dengan bucket S3 Anda hanya atas nama saluran pengiriman di `us-east-1` Wilayah di akun:. `123456789012` `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Pemecahan Masalah untuk Topik Amazon SNS
AWS Config harus memiliki izin untuk mengirim pemberitahuan ke topik Amazon SNS. Jika topik Amazon SNS tidak dapat menerima notifikasi, verifikasi bahwa peran IAM yang AWS Config diasumsikan memiliki izin yang diperlukan. `sns:Publish`