Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS - AWS Systems Manager
Configurare le notifiche di Amazon SNS per AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS

Puoi configurare Amazon Simple Notification Service (Amazon SNS) per inviare notifiche sullo stato dei comandi che invii tramite Run Command oppure Maintenance Windows, che sono gli strumenti in AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna delle notifiche ai clienti o agli endpoint che sono iscritti agli argomenti di Amazon SNS. È possibile ricevere una notifica ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio Failed (Non riuscito) o Timed Out (Sottoposto a timeout). Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Ogni copia è denominata invocazione.

Amazon SNS può consegnare notifiche come HTTP o HTTPS POST, e-mail (SMTP, in testo normale o in formato JSON) oppure come messaggio inviato a una coda Amazon Simple Queue Service (Amazon SQS). Per ulteriori informazioni, si veda What is Amazon SNS (Che cos'è Amazon SNS) nella Amazon Simple Notification Service Developer Guide (Guida per gli sviluppatori di Amazon Simple Notification Service). Per esempi della struttura dei dati JSON inclusi nella notifica Amazon SNS fornita da Run Command e Maintenance Windows, consulta Esempio di notifiche Amazon SNS per AWS Systems Manager.

Importante

Prendi nota delle seguenti informazioni importanti.

Configurare le notifiche di Amazon SNS per AWS Systems Manager

Run Command e Maintenance Windows le attività registrate in una finestra di manutenzione possono inviare notifiche Amazon SNS per attività di comando che inseriscono i seguenti stati:

  • In Progress (In corso)

  • Riuscito

  • Non riuscito

  • Timed Out (Timeout)

  • Annullato

Per informazioni sulle condizioni che determinano il passaggio di un comando a uno di questi stati, si veda Informazioni sugli stati dei comandi.

Nota

Comandi inviati utilizzando Run Command segnala anche lo stato Annullamento e In sospeso. Questi stati non vengono acquisiti dalle notifiche Amazon SNS.

Riepilogo dei comandi delle notifiche Amazon SNS

Se configuri Run Command o un Run Command nella finestra di manutenzione per le notifiche di Amazon SNS, Amazon SNS invia messaggi di riepilogo che includono le seguenti informazioni.

Campo Tipo Descrizione

eventTime

Stringa

Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26T13:15:30Z

documentName

Stringa

Il nome del documento SSM usato per eseguire il comando.

commandId

Stringa

L'ID generato da Run Command dopo l'invio del comando.

expiresAfter

Data

Se si raggiunge questo istante prima che inizi l'esecuzione del comando, il comando non viene eseguito.

uscite 3 BucketName

Stringa

Il bucket Amazon Simple Storage Service (Amazon S3) in cui devono essere archiviate le risposte all'esecuzione del comando.

Uscite S3 KeyPrefix

Stringa

Il percorso della directory di Amazon S3 all'interno del bucket in cui devono essere archiviate le risposte all'esecuzione del comando.

requestedDateTime

Stringa

Data e ora di invio della richiesta a questo nodo specifico.

instanceIds

StringList

I nodi a cui è destinato il comando.

Nota

IDs Le istanze sono incluse nel messaggio di riepilogo solo se Run Command esegue IDs direttamente l'operazione sull'istanza mirata. IDs Le istanze non sono incluse nel messaggio di riepilogo se Run Command l'attività è stata emessa utilizzando il targeting basato su tag.

status

Stringa

Lo stato del comando.

Notifiche Amazon SNS basate su chiamata

Se si invia un comando a più nodi, Amazon SNS può inviare messaggi relativi a ogni copia o chiamata del comando. I messaggi includono le informazioni riportate di seguito.

Campo Tipo Descrizione

eventTime

Stringa

Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26T13:15:30Z

documentName

Stringa

Il nome del documento Systems Manager (documento SSM) usato per eseguire il comando.

requestedDateTime

Stringa

Data e ora di invio della richiesta a questo nodo specifico.

commandId

Stringa

L'ID generato da Run Command dopo l'invio del comando.

instanceId

Stringa

L'istanza di destinazione per il comando.

status

Stringa

Lo stato del comando per questa invocazione.

Per configurare le notifiche di Amazon SNS quando un comando cambia di stato, eseguire le attività seguenti.

Nota

Se non si sta configurando le notifiche Amazon SNS per la finestra di manutenzione, è possibile saltare l'attività 5 più avanti in questo argomento.

Attività 1: Creazione e iscrizione a un argomento Amazon SNS

Un argomento di Amazon SNS è un canale di comunicazione che Run Command e Run Command le attività registrate in una finestra di manutenzione vengono utilizzate per inviare notifiche sullo stato dei comandi. Amazon SNS supporta diversi protocolli di comunicazione, tra cui HTTP/S, e-mail e altri Servizi AWS come Amazon Simple Queue Service (Amazon SQS). Per iniziare rapidamente, consigliamo di scegliere il protocollo e-mail. Per ulteriori informazioni su come creare un argomento, consultare la pagina Creazione di un argomento Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Nota

Dopo aver creato l'argomento, copiare o prendere nota del valore dell'ARN dell' argomento). Questo ARN dovrà essere specificato quando si invia un comando configurato per restituire le notifiche di stato.

Dopo aver creato l'argomento, effettuare la sottoscrizione specificando un Endpoint. Se si sceglie il protocollo e-mail, l'endpoint è l'indirizzo e-mail a cui si desidera ricevere le notifiche. Per ulteriori informazioni su come effettuare la sottoscrizione a un argomento, consultare Subscribing to an Amazon SNS topic (Sottoscrizione a un argomento di Amazon SNS) nella Amazon Simple Notification Service Developer Guide (Guida per sviluppatori di Amazon Simple Notification Service).

Amazon SNS invia una e-mail di conferma da Notifiche AWS all'indirizzo e-mail specificato. Aprire la e-mail e selezionare il collegamento Confirm subscription (Conferma sottoscrizione).

Riceverai un messaggio di conferma da. AWS Amazon SNS è ora configurato per ricevere notifiche e inviare la notifica come e-mail all'indirizzo specificato.

Attività 2: creazione di una policy IAM per le notifiche di Amazon SNS

Utilizza la seguente procedura per creare una policy personalizzata AWS Identity and Access Management (IAM) che fornisca le autorizzazioni per avviare le notifiche di Amazon SNS.

Per creare una policy IAM personalizzata per le notifiche di Amazon SNS

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Policies (Policy) e Create Policy (Crea policy). (Se viene visualizzato il pulsante Get Started (Inizia), sceglierlo, quindi scegliere Create Policy (Crea policy)).

  3. Scegliere la scheda JSON.

  4. Sostituire il contenuto di default con il seguente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:region:account-id:sns-topic-name"
        }
    ]
}

    regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio per la regione Stati Uniti orientali (Ohio). us-east-2 Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

    account-idrappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. 123456789012

    sns-topic-namerappresenta il nome dell'argomento Amazon SNS che desideri utilizzare per la pubblicazione delle notifiche.

  5. Scegli Successivo: Tag.

  6. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.

  7. Scegli Prossimo: Rivedi.

  8. Nella pagina Review policy (Rivedi policy), per Name (Nome) inserire un nome per la policy inline. Ad esempio: my-sns-publish-permissions.

  9. (Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.

  10. Scegliere Create Policy (Crea policy).

Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS

La seguente procedura consente di creare un ruolo IAM per le notifiche di Amazon SNS. Questo ruolo di servizio viene utilizzato da Systems Manager per avviare le notifiche Amazon SNS. In tutte le procedure successive, questo ruolo viene chiamato ruolo IAM Amazon SNS.

Per creare un ruolo di servizio IAM per le notifiche di Amazon SNS

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  3. Scegli il tipo di ruolo Servizio AWS, quindi scegli Systems Manager.

  4. Scegli il caso d'uso Systems Manager. Quindi, seleziona Next (Successivo).

  5. Nella pagina Attach permissions policies (Collega policy di autorizzazioni), selezionare la casella a sinistra del nome della policy personalizzata creata nell'attività 2. Ad esempio: my-sns-publish-permissions.

  6. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAM include un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per selezionare la policy da utilizzare per il limite delle autorizzazioni.

  7. Scegli Next (Successivo).

  8. Se possibile, specifica un nome del ruolo o un suffisso del nome del ruolo per facilitare l'identificazione dello scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia PRODROLE che prodrole. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.

  9. (Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.

  10. Scegli Edit (Modifica) nelle sezioni Step 1: Select trusted entities (Fase 1: seleziona le entità attendibili) o Step 2: Select permissions (Fase 2: seleziona autorizzazioni) per modificare i casi d'uso e le autorizzazioni per il ruolo.

  11. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.

  12. Rivedere il ruolo e scegliere Crea ruolo.

  13. Selezionare il nome del ruolo, quindi copiare o annotare quanto indicato in Role ARN (ARN ruolo). Questo Amazon Resource Name (ARN) per il ruolo viene utilizzato quando si invia un comando configurato per restituire le notifiche Amazon SNS.

  14. Tenere aperta la pagina Summary (Riepilogo).

Attività 4: configurazione dell'accesso utente

Se a un'entità IAM (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo ha accesso a Run Command e Maintenance Windows, strumenti in AWS Systems Manager.

Per le entità senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/sns-role-name"
        }
    ]
}

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Per configurare l'accesso utente e collegare la policy iam:PassRole a un account utente

  1. Nel riquadro di navigazione IAM, selezionare Users (Utenti), quindi selezionare l'account utente che si desidera configurare.

  2. Nella scheda Permissions (Autorizzazioni) dell'elenco delle policy, verificare che sia presente la policy AmazonSSMFullAccess o una policy equivalente che assegni all'account le autorizzazioni di accesso a Systems Manager.

  3. Scegliere Add inline policy (Aggiungi policy inline).

  4. Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).

  5. Selezionare Choose a service (Scegli un servizio) e quindi IAM..

  6. Per Azioni, nella casella di testo Filtro azioniPassRole, immettete e quindi selezionate la casella di controllo accanto a PassRole.

  7. Per Resources (Risorse), verificare che l'opzione Specific (Specifico) sia selezionata, quindi scegliere Add ARN (Aggiungi ARN).

  8. Nel campo Specify ARN for role (Specifica ARN per il ruolo), incollare l'ARN del ruolo IAM Amazon SNS copiato alla fine dell'attività 3. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).

  9. Scegliere Add (Aggiungi).

  10. Scegliere Review policy (Rivedi policy).

  11. Nella pagina Review Policy (Rivedi policy), inserire un nome, quindi scegliere Create Policy (Crea policy).

Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione

Quando registri un Run Command operazione con una finestra di manutenzione, si specifica un ruolo di servizio Amazon Resource Name (ARN). Questo ruolo di servizio viene utilizzato da Systems Manager per l'esecuzione di attività registrate nella finestra di manutenzione. Per configurare le notifiche di Amazon SNS per un utente registrato Run Command operazione, allega una iam:PassRole policy al ruolo di servizio specificato nella finestra di manutenzione. Se non si intende configurare l'attività registrata per le notifiche Amazon SNS, questa attività può essere ignorata.

La iam:PassRole politica consente Maintenance Windows ruolo di servizio per passare il ruolo IAM di Amazon SNS creato nel Task 3 al servizio Amazon SNS. La procedura seguente mostra come allegare la iam:PassRole policy al Maintenance Windows ruolo di servizio.

Nota

Utilizza un ruolo di servizio personalizzato per la finestra di manutenzione per inviare notifiche relative al Run Command attività registrate. Per informazioni, consultare Configurazione Maintenance Windows.

Se hai bisogno di creare un ruolo di servizio personalizzato per le attività della finestra di manutenzione, consulta la sezione Configurazione Maintenance Windows.

Per allegare la iam:PassRole politica al tuo Maintenance Windows role

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, selezionare Roles (Ruoli) e selezionare il ruolo IAM Amazon SNS creato nell'attività 3.

  3. Copiare o annotare l'ARN del ruolo e tornare alla sezione Roles (Ruoli) della console IAM.

  4. Seleziona la personalizzata Maintenance Windows ruolo di servizio creato dall'elenco dei nomi dei ruoli.

  5. Nella scheda Permissions (Autorizzazioni), verificare che la policy AmazonSSMMaintenanceWindowRole sia elencata o che ci sia una policy analoga che conceda l'autorizzazione alle finestre di manutenzione per l'API di Systems Manager. In caso contrario, scegli Aggiungi autorizzazioni, Collega policy per collegarla.

  6. Scegli Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy inline).

  7. Scegliere la scheda Visual Editor (Editor visivo).

  8. In Service (Servizio) scegliere IAM.

  9. Per Azioni, nella casella di testo Filtra azioniPassRole, immettete e quindi selezionate la casella di controllo accanto a PassRole.

  10. Per Resources (Risorse), scegliere Specific (Specifico), quindi scegliere Add ARN (Aggiungi ARN).

  11. Nella casella Specify ARN for role (Specifica ARN per ruolo), incollare l'ARN del ruolo IAM Amazon SNS creato nell'attività 3 e quindi scegliere Add (Aggiungi).

  12. Scegli Verifica policy.

  13. Nella pagina Rivedi policy, specifica un nome per la policy PassRole, quindi scegli Crea policy.