Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per l'argomento Amazon SNS

Questo argomento descrive come configurare la distribuzione AWS Config di SNS argomenti Amazon di proprietà di un account diverso. AWS Config deve disporre delle autorizzazioni necessarie per inviare notifiche a un SNS argomento Amazon. Per la configurazione dello stesso account, quando la AWS Config console crea un SNS argomento Amazon o scegli un SNS argomento Amazon dal tuo account, AWS Config assicurati che l'SNSargomento Amazon includa le autorizzazioni richieste e segua le best practice di sicurezza.

Autorizzazioni richieste per l'SNSargomento Amazon quando si utilizzano i ruoli IAM

Puoi allegare una politica di autorizzazioni all'SNSargomento Amazon di proprietà di un altro account. Se desideri utilizzare un SNS argomento Amazon da un altro account, assicurati di allegare la seguente politica all'SNSargomento Amazon esistente.

{
  "Id": "Policy_ID",
  "Statement": [
    {
      "Sid": "AWSConfigSNSPolicy",
      "Action": [
        "sns:Publish"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
      "Principal": {
        "AWS": [
          "account-id1",
          "account-id2",
          "account-id3"
        ]
      }
    }
  ]
}

Per la Resource chiave, account-id è il numero di AWS account del proprietario dell'argomento. In account-id1, account-id2e account-id3, usa il Account AWS che invierà i dati a un SNS argomento di Amazon. Puoi sostituire i valori appropriati con region e myTopic.

Quando AWS Config invia una notifica a un SNS argomento Amazon, tenta innanzitutto di utilizzare il IAM ruolo, ma questo tentativo fallisce se il ruolo o Account AWS non è autorizzato a pubblicare sull'argomento. In questo caso, AWS Config invia nuovamente la notifica, questa volta come nome principale del AWS Config servizio (SPN). Prima che la pubblicazione possa andare a buon fine, la policy di accesso per l'argomento deve concedere l'accesso sns:Publish al nome del principale config.amazonaws.com. È necessario allegare una politica di accesso, descritta nella sezione successiva, all'SNSargomento Amazon per concedere l' AWS Config accesso all'SNSargomento Amazon se il IAM ruolo non è autorizzato a pubblicare sull'argomento.

Autorizzazioni richieste per l'SNSargomento Amazon quando si utilizzano ruoli collegati ai servizi

Il ruolo AWS Config collegato al servizio non dispone dell'autorizzazione per accedere all'argomento AmazonSNS. Quindi, se configuri AWS Config utilizzando un ruolo collegato al servizio (SLR), AWS Config invierà invece le informazioni come principale del AWS Config servizio. Dovrai allegare una politica di accesso, menzionata di seguito, all'SNSargomento Amazon per concedere AWS Config l'accesso all'invio di informazioni all'SNSargomento Amazon.

Per la configurazione dello stesso account, quando l'SNSargomento e l'argomento Amazon si SLR trovano nello stesso account e la SNS politica di Amazon concede l'autorizzazione SLR sns:Publish "", non è necessario utilizzare il. AWS Config SPN La policy di autorizzazione riportata di seguito e le raccomandazioni sulle best practice di sicurezza riguardano la configurazione tra più account.

Concessione dell' AWS Config accesso all'SNSargomento Amazon.

Questa politica consente di AWS Config inviare una notifica a un SNS argomento di Amazon. Per concedere l' AWS Config accesso all'SNSargomento Amazon da un altro account, dovrai allegare la seguente politica di autorizzazione.

{
"Id": "Policy_ID",
"Statement": [
  {
    "Sid": "AWSConfigSNSPolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "config.amazonaws.com"
    },
    "Action": "sns:Publish",
      "Resource": "arn:aws:sns:region:account-id:myTopic",
        "Condition" : {
        "StringEquals": {
          "AWS:SourceAccount": [
            "account-id1",
            "account-id2",
            "account-id3"
          ]
        }
      }
    }
  ]
}

Per la Resource chiave, account-id è il numero di AWS account del proprietario dell'argomento. In account-id1, account-id2e account-id3, usa il Account AWS che invierà i dati a un SNS argomento di Amazon. Puoi sostituire i valori appropriati con region e myTopic.

Puoi utilizzare la AWS:SourceAccount condizione nella precedente policy SNS tematica di Amazon per limitare l'interazione del nome principale del AWS Config servizio (SPN) solo con l'SNSargomento Amazon quando esegui operazioni per conto di account specifici.

AWS Config supporta anche la AWS:SourceArn condizione che limita il nome principale del AWS Config servizio (SPN) a interagire con il bucket S3 solo quando si eseguono operazioni per conto di canali di distribuzione specifici AWS Config . Quando si utilizza il nome principale del AWS Config servizio (SPN), la AWS:SourceArn proprietà verrà sempre impostata su arn:aws:config:sourceRegion:sourceAccountID:* dove si sourceRegion trova la regione del canale di consegna e sourceAccountID l'ID dell'account contenente il canale di consegna. Per ulteriori informazioni sui canali AWS Config di distribuzione, consulta Gestione del canale di consegna. Ad esempio, aggiungi la seguente condizione per limitare l'interazione del nome principale del AWS Config servizio (SPN) con il tuo bucket S3 solo per conto di un canale di distribuzione nella us-east-1 regione dell'account123456789012:. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}

Risoluzione dei problemi per l'SNSargomento Amazon

AWS Config deve disporre delle autorizzazioni per inviare notifiche a un SNS argomento Amazon. Se un SNS argomento Amazon non può ricevere notifiche, verifica che il IAM ruolo AWS Config assunto disponga delle sns:Publish autorizzazioni richieste.