Configurazione degli argomenti di Amazon SNS per Change Manager notifiche - AWS Systems Manager
Processo 1: Creazione e iscrizione a un argomento Amazon SNSProcesso 2: Aggiornamento delle policy di accesso Amazon SNSAttività 3: (Facoltativo) Aggiornare la politica di accesso AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione degli argomenti di Amazon SNS per Change Manager notifiche

Puoi configurare Change Manager, uno strumento per inviare notifiche a un argomento di Amazon Simple Notification Service (Amazon SNS) per eventi relativi a richieste di modifica e modelli di modifica. AWS Systems Manager Completa le seguenti attività per ricevere notifiche per Change Manager eventi a cui aggiungi un argomento.

Processo 1: Creazione e iscrizione a un argomento Amazon SNS

Come prima cosa crea e sottoscrivi un argomento Amazon SNS. Per ulteriori informazioni, consulta Creazione di un argomento Amazon SNS e Iscrizione a un argomento Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Nota

Per ricevere notifiche, devi specificare l'Amazon Resource Name (ARN) di un argomento Amazon SNS che si trova nello Regione AWS stesso account Account AWS amministratore delegato.

Processo 2: Aggiornamento delle policy di accesso Amazon SNS

Utilizza la seguente procedura per aggiornare la policy di accesso di Amazon SNS in modo che Systems Manager possa pubblicare Change Manager notifiche sull'argomento Amazon SNS che hai creato nel Task 1. Senza completare questa attività, Change Manager non è autorizzato a inviare notifiche per gli eventi per i quali hai aggiunto l'argomento.

  1. Accedi a AWS Management Console e apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli l'argomento creato nel processo 1, quindi seleziona Edit (Modifica).

  4. Espandi Access policy (Policy di accesso).

  5. Aggiungi e aggiorna il seguente Sid blocco alla politica esistente e sostituisci ciascuno user input placeholder con le tue informazioni.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Inserisci questo blocco dopo il Sid blocco esistente e region sostituiscilo account-id topic-name con i valori appropriati per l'argomento che hai creato.

  6. Scegli Save changes (Salva modifiche).

Il sistema invia ora notifiche all'argomento Amazon SNS quando si verifica il tipo di evento che aggiungi all'argomento.

Importante

Se hai configurato l'argomento Amazon SNS con una chiave di crittografia lato server AWS Key Management Service (AWS KMS), devi completare il Task 3.

Attività 3: (Facoltativo) Aggiornare la politica di accesso AWS Key Management Service

Se hai attivato la crittografia AWS Key Management Service (AWS KMS) lato server per il tuo argomento Amazon SNS, devi anche aggiornare la politica di accesso che hai scelto quando hai AWS KMS key configurato l'argomento. Utilizzare la procedura seguente per aggiornare la politica di accesso in modo che Systems Manager possa pubblicare Change Manager notifiche di approvazione all'argomento Amazon SNS che hai creato nel Task 1.

  1. Apri la AWS KMS console in https://console.aws.amazon.com/kms.

  2. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  3. Selezionare l'ID della chiave master del cliente scelta al momento della creazione dell'argomento.

  4. Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).

  5. Scegli Modifica.

  6. Immettere il seguente blocco Sid dopo uno dei blocchi Sid esistenti nella politica esistente. Sostituisci ogni user input placeholder con le tue informazioni.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Ora immetti il seguente blocco Sid dopo uno dei blocchi Sid esistenti nella politica delle risorse per aiutare a prevenire il problema del “confused deputy” di servizi incrociati.

    Questo blocco utilizza le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per limitare le autorizzazioni con cui Systems Manager fornisce un altro servizio alla risorsa.

    Sostituisci ogni user input placeholder con le tue informazioni.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Scegli Save changes (Salva modifiche).