Configurazione degli argomenti Amazon SNS per le notifiche Change Manager - AWS Systems Manager
Processo 1: Creazione e iscrizione a un argomento Amazon SNSProcesso 2: Aggiornamento delle policy di accesso Amazon SNSProcesso 3: aggiornamento della policy di accesso AWS Key Management Service (facoltativo)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione degli argomenti Amazon SNS per le notifiche Change Manager

È possibile configurare Change Manager, una funzionalità diAWS Systems Manager, per inviare notifiche a un argomento Amazon Simple Notification Service (Amazon SNS) per eventi correlati a richieste di modifica e modelli di modifica. Completare i seguenti processi per ricevere le notifiche per eventi Change Manager a cui si aggiunge un argomento.

Processo 1: Creazione e iscrizione a un argomento Amazon SNS

Come prima cosa crea e sottoscrivi un argomento Amazon SNS. Per ulteriori informazioni, consulta Creazione di un argomento Amazon SNS e Iscrizione a un argomento Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Nota

Per ricevere notifiche, devi specificare l'Amazon Resource Name (ARN) di un argomento Amazon SNS che si trova nella stessa Regione AWS e nello stesso Account AWS dell'account amministratore delegato.

Processo 2: Aggiornamento delle policy di accesso Amazon SNS

Utilizza la procedura seguente per aggiornare la policy di accesso in modo che Systems Manager possa pubblicare notifiche Change Manager nell'argomento Amazon SNS creato nel processo 1. Senza completare questo processo, Change Manager non dispone dell'autorizzazione per inviare notifiche per gli eventi per cui aggiungi l'argomento.

  1. Accedere alla AWS Management Console e aprire la console Amazon SNS all'indirizzo https://console.aws.amazon.com/sns/v3/home.

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli l'argomento creato nel processo 1, quindi seleziona Edit (Modifica).

  4. Espandi Access policy (Policy di accesso).

  5. Aggiungi e aggiorna il seguente blocco Sid alla policy esistente e sostituisci ciascun segnaposto dell'input dell'utente con le tue informazioni.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Immetti questo blocco dopo il blocco Sid esistente e sostituisci region, account-id e topic-name con i valori appropriati per l'argomento creato.

  6. Seleziona Salva modifiche.

Il sistema invia ora notifiche all'argomento Amazon SNS quando si verifica il tipo di evento che aggiungi all'argomento.

Importante

Se l'argomento Amazon SNS è stato configurato con una chiave di crittografia lato server AWS Key Management Service (AWS KMS), è necessario completare il processo 3.

Processo 3: aggiornamento della policy di accesso AWS Key Management Service (facoltativo)

Se hai abilitato la crittografia lato server AWS Key Management Service (AWS KMS) per l'argomento Amazon SNS, devi aggiornare anche la policy di accesso della AWS KMS key scelta al momento della configurazione dell'argomento. Utilizza la procedura seguente per aggiornare la policy di accesso in modo che Systems Manager possa pubblicare notifiche di approvazione Change Manager per l'argomento Amazon SNS creato nel processo 1.

  1. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

  2. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  3. Selezionare l'ID della chiave master del cliente scelta al momento della creazione dell'argomento.

  4. Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).

  5. Scegliere Modifica.

  6. Immettere il seguente blocco Sid dopo uno dei blocchi Sid esistenti nella politica esistente. Sostituisci ciascun placeholder input dell'utente con le tue informazioni.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Ora immetti il seguente blocco Sid dopo uno dei blocchi Sid esistenti nella politica delle risorse per aiutare a prevenire il problema del “confused deputy” di servizi incrociati.

    Questo blocco utilizza le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount per limitare le autorizzazioni con cui Systems Manager fornisce un altro servizio alla risorsa.

    Sostituisci ciascun placeholder input dell'utente con le tue informazioni.

    {
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": [
        "sns:Publish"
      ],
      "Resource": "arn:aws:sns:region:account-id:topic-name",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:ssm:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  8. Seleziona Salva modifiche.