Mengonfigurasi topik Amazon SNS untukChange Managerpemberitahuan - AWS Systems Manager
Tugas 1: Membuat dan berlangganan topik Amazon SNSTugas 2: Memperbarui kebijakan akses Amazon SNSTugas 3: (Opsional) MemperbaruiAWS Key Management Servicekebijakan akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi topik Amazon SNS untukChange Managerpemberitahuan

Anda dapat mengonfigurasiChange Manager, suatu kemampuanAWS Systems Manager, untuk mengirim notifikasi ke topik Amazon Simple Notification Service (Amazon SNS) untuk peristiwa yang terkait dengan permintaan perubahan dan templat perubahan. Lengkapi tugas-tugas berikut untuk menerima notifikasi untukChange Manageracara yang Anda tambahkan topik.

Tugas 1: Membuat dan berlangganan topik Amazon SNS

Pertama, Anda harus membuat dan berlangganan ke topik Amazon SNS. Untuk informasi selengkapnya, lihatMembuat topik Amazon SNSdanBerlangganan topik Amazon SNSdi dalamPanduan Developer Amazon Simple Notification Service.

catatan

Untuk menerima notifikasi, Anda harus menentukan Amazon Resource Name (ARN) dari topik Amazon SNS yang ada di Wilayah AWS dan Akun AWS yang sama dengan admin yang didelegasikan.

Tugas 2: Memperbarui kebijakan akses Amazon SNS

Gunakan prosedur berikut untuk memperbarui kebijakan akses Amazon SNS sehingga Systems Manager dapat mempublikasikanChange Managernotifikasi untuk topik Amazon SNS yang Anda buat dalam Tugas 1. Tanpa menyelesaikan tugas ini,Change Managertidak memiliki izin untuk mengirim notifikasi untuk peristiwa yang Anda tambahkan topiknya.

  1. Masuk ke AWS Management Console dan buka konsol Amazon SNS di https://console.aws.amazon.com/sns/v3/home.

  2. Di panel navigasi, pilih Topik.

  3. Pilih topik yang Anda buat di Tugas 1, lalu pilih Edit.

  4. Perluas Kebijakan akses.

  5. Tambahkan dan perbarui yang berikutSidblok ke kebijakan yang ada dan ganti masing-masingplaceholder masukan penggunadengan informasi Anda sendiri.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Masukkan blok ini setelah yang adaSidblok, dan gantidaerah,account-id, dantopik-namadengan nilai yang sesuai untuk topik yang Anda buat.

  6. Pilih Simpan perubahan.

Sistem sekarang mengirimkan notifikasi ke topik Amazon SNS saat jenis peristiwa yang Anda tambahkan ke topik terjadi.

penting

Jika Anda mengonfigurasi topik Amazon SNS dengan kunci enkripsi sisi server AWS Key Management Service (AWS KMS), Anda harus menyelesaikan Tugas 3.

Tugas 3: (Opsional) MemperbaruiAWS Key Management Servicekebijakan akses

Jika Anda mengaktifkan enkripsi sisi server AWS Key Management Service (AWS KMS) untuk topik Amazon SNS Anda, Anda juga harus memperbarui kebijakan akses AWS KMS key yang Anda pilih saat mengonfigurasi topik. Gunakan prosedur berikut untuk memperbarui kebijakan akses sehingga Systems Manager dapat mempublikasikanChange Managernotifikasi persetujuan untuk topik Amazon SNS yang Anda buat dalam Tugas 1.

  1. Buka konsol AWS KMS tersebut di https://console.aws.amazon.com/kms.

  2. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  3. Pilih ID kunci yang dikelola pelanggan yang Anda pilih saat membuat topik.

  4. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  5. Pilih Edit.

  6. Masukkan perintah berikutSidblok setelah salah satuSidblok dalam kebijakan yang ada. Ganti masing-masingplaceholder masukan penggunadengan informasi Anda sendiri.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Sekarang masukkan perintah berikutSidblok setelah salah satuSidblok dalam kebijakan sumber daya untuk membantu mencegahmasalah lintas layanan bingung.

    Blok ini menggunakanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global untuk membatasi izin yang diberikan Systems Manager layanan lain ke sumber daya.

    Ganti masing-masingplaceholder masukan penggunadengan informasi Anda sendiri.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Pilih Simpan perubahan.