Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitoraggio delle modifiche allo stato di Systems Manager tramite SNS le notifiche di Amazon
Nota
FIFOGli argomenti di Amazon Simple Notification Service non sono supportati.
Puoi configurare Amazon Simple Notification Service (AmazonSNS) per inviare notifiche sullo stato dei comandi che invii utilizzando Run Command oMaintenance Windows, quali sono funzionalità di AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna di notifiche a clienti o endpoint abbonati agli argomenti di AmazonSNS. È possibile ricevere una notifica ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio Failed (Non riuscito) o Timed Out (Sottoposto a timeout). Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Ogni copia è denominata invocazione.
Amazon SNS può inviare notifiche come HTTP o HTTPSPOST, e-mail (SMTPtesto semplice o in JSON formato) o come messaggio pubblicato in una coda Amazon Simple Queue Service (AmazonSQS). Per ulteriori informazioni, consulta What is Amazon SNS nella Amazon Simple Notification Service Developer Guide. Per esempi della struttura dei JSON dati inclusi nella SNS notifica Amazon fornita da Run Command eMaintenance Windows, consultaEsempi di SNS notifiche Amazon per AWS Systems Manager.
Configura SNS le notifiche Amazon per AWS Systems Manager
Run Commande Maintenance Windows le attività registrate in una finestra di manutenzione possono inviare SNS notifiche Amazon per attività di comando che inseriscono i seguenti stati:
-
In Progress (In corso)
-
Riuscito
-
Non riuscito
-
Timed Out (Timeout)
-
Annullato
Per informazioni sulle condizioni che determinano il passaggio di un comando a uno di questi stati, si veda Informazioni sugli stati dei comandi.
Nota
I comandi inviati mediante Run Command indicano anche gli stati In fase di eliminazione e In attesa. Questi stati non vengono rilevati dalle SNS notifiche di Amazon.
Riepilogo dei comandi SNS Notifiche Amazon
Se configuri Run Command o esegui un'Run Commandattività nella finestra di manutenzione per SNS le notifiche Amazon, Amazon SNS invia messaggi di riepilogo che includono le seguenti informazioni.
Campo | Type | Descrizione |
---|---|---|
eventTime |
Stringa |
Ora di inizio dell'evento. Il timestamp è importante SNS perché Amazon non garantisce l'ordine di consegna dei messaggi. Esempio: 2016-04-26T13:15:30Z |
documentName |
Stringa |
Il nome del SSM documento utilizzato per eseguire questo comando. |
commandId |
Stringa |
L'ID generato da Run Command dopo l'invio del comando. |
expiresAfter |
Data |
Se si raggiunge questo istante prima che inizi l'esecuzione del comando, il comando non viene eseguito. |
Uscite 3 BucketName |
Stringa |
Il bucket Amazon Simple Storage Service (Amazon S3) in cui devono essere archiviate le risposte all'esecuzione del comando. |
Uscite S3 KeyPrefix |
Stringa |
Il percorso della directory di Amazon S3 all'interno del bucket in cui devono essere archiviate le risposte all'esecuzione del comando. |
requestedDateTime |
Stringa |
Data e ora di invio della richiesta a questo nodo specifico. |
instanceIds |
StringList |
I nodi a cui è destinato il comando. NotaIDsLe istanze sono incluse nel messaggio di riepilogo solo se l'Run Commandattività ha come obiettivo diretto l'istanza. IDs IDsLe istanze non sono incluse nel messaggio di riepilogo se l'Run Commandattività è stata emessa utilizzando il targeting basato su tag. |
status |
Stringa |
Lo stato del comando. |
Notifiche Amazon basate su invocazioni SNS
Se invii un comando a più nodi, Amazon SNS può inviare messaggi su ogni copia o invocazione del comando. I messaggi includono le informazioni riportate di seguito.
Campo | Type | Descrizione |
---|---|---|
eventTime |
Stringa |
Ora di inizio dell'evento. Il timestamp è importante SNS perché Amazon non garantisce l'ordine di consegna dei messaggi. Esempio: 2016-04-26T13:15:30Z |
documentName |
Stringa |
Il nome del documento Systems Manager (SSMdocumento) utilizzato per eseguire questo comando. |
requestedDateTime |
Stringa |
Data e ora di invio della richiesta a questo nodo specifico. |
commandId |
Stringa |
L'ID generato da Run Command dopo l'invio del comando. |
instanceId |
Stringa |
L'istanza di destinazione per il comando. |
status |
Stringa |
Lo stato del comando per questa invocazione. |
Per configurare SNS le notifiche Amazon quando un comando cambia lo stato, completa le seguenti attività.
Nota
Se non stai configurando SNS le notifiche di Amazon per la finestra di manutenzione, puoi saltare il Task 5 più avanti in questo argomento.
Argomenti
- Attività 1: creare e sottoscrivere un SNS argomento Amazon
- Attività 2: creare una IAM politica per SNS le notifiche Amazon
- Attività 3: creare un IAM ruolo per SNS le notifiche Amazon
- Attività 4: configurazione dell'accesso utente
- Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione
Attività 1: creare e sottoscrivere un SNS argomento Amazon
Un SNS argomento di Amazon è un canale di comunicazione utilizzato Run Command e dalle Run Command attività registrate in una finestra di manutenzione per inviare notifiche sullo stato dei comandi. Amazon SNS supporta diversi protocolli di comunicazione, tra cui HTTP /S, e-mail e altri AWS servizi come Amazon Simple Queue Service (AmazonSQS). Per iniziare rapidamente, consigliamo di scegliere il protocollo e-mail. Per informazioni su come creare un argomento, consulta Creating an Amazon SNS topic nella Amazon Simple Notification Service Developer Guide.
Nota
Dopo aver creato l'argomento, copia o prendi nota dell'argomento ARN. Lo specificate ARN quando inviate un comando configurato per restituire notifiche di stato.
Dopo aver creato l'argomento, effettuare la sottoscrizione specificando un Endpoint. Se si sceglie il protocollo e-mail, l'endpoint è l'indirizzo e-mail a cui si desidera ricevere le notifiche. Per ulteriori informazioni su come iscriversi a un argomento, consulta Abbonamento a un SNS argomento Amazon nella Amazon Simple Notification Service Developer Guide.
Amazon SNS invia un'e-mail di conferma da AWS Notifiche all'indirizzo e-mail specificato. Aprire la e-mail e selezionare il collegamento Confirm subscription (Conferma sottoscrizione).
Riceverai un messaggio di conferma da. AWS Amazon SNS è ora configurato per ricevere notifiche e inviarle come e-mail all'indirizzo e-mail che hai specificato.
Attività 2: creare una IAM politica per SNS le notifiche Amazon
Utilizza la seguente procedura per creare una policy personalizzata AWS Identity and Access Management (IAM) che fornisca le autorizzazioni per avviare le notifiche AmazonSNS.
Per creare una IAM politica personalizzata per SNS le notifiche di Amazon
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, seleziona Policies (Policy) e Create Policy (Crea policy). (Se viene visualizzato il pulsante Get Started (Inizia), sceglierlo, quindi scegliere Create Policy (Crea policy)).
-
Scegli la JSONscheda.
-
Sostituire il contenuto di default con il seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "
arn:aws:sns:
" } ] }region
:account-id
:sns-topic-name
region
rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempious-east-2
per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportatiregion
valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services
rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato.account-id
123456789012
sns-topic-name
rappresenta il nome dell'SNSargomento Amazon che desideri utilizzare per la pubblicazione delle notifiche. -
Scegli Successivo: Tag.
-
(Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.
-
Scegli Prossimo: Rivedi.
-
Nella pagina Review policy (Rivedi policy), per Name (Nome) inserire un nome per la policy inline. Ad esempio:
my-sns-publish-permissions
. -
(Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.
-
Scegliere Create Policy (Crea policy).
Attività 3: creare un IAM ruolo per SNS le notifiche Amazon
Utilizza la seguente procedura per creare un IAM ruolo per SNS le notifiche Amazon. Questo ruolo di servizio viene utilizzato da Systems Manager per avviare SNS le notifiche Amazon. In tutte le procedure successive, questo ruolo viene denominato SNS IAM ruolo Amazon.
Per creare un ruolo IAM di servizio per SNS le notifiche di Amazon
Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.
-
Scegli il tipo di ruolo AWS servizio, quindi scegli Systems Manager.
-
Scegli il caso d'uso Systems Manager. Quindi, seleziona Next (Successivo).
-
Nella pagina Attach permissions policies (Collega policy di autorizzazioni), selezionare la casella a sinistra del nome della policy personalizzata creata nell'attività 2. Ad esempio:
my-sns-publish-permissions
. -
(Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.
Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAMinclude un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione IAM delle politiche nella Guida IAM per l'utente. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per selezionare la policy da utilizzare per il limite delle autorizzazioni.
-
Scegli Next (Successivo).
-
Se possibile, specifica un nome del ruolo o un suffisso del nome del ruolo per facilitare l'identificazione dello scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia
PRODROLE
cheprodrole
. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato. -
(Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.
-
Scegli Edit (Modifica) nelle sezioni Step 1: Select trusted entities (Fase 1: seleziona le entità attendibili) o Step 2: Select permissions (Fase 2: seleziona autorizzazioni) per modificare i casi d'uso e le autorizzazioni per il ruolo.
-
(Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.
-
Rivedere il ruolo e scegliere Crea ruolo.
-
Scegliete il nome del ruolo, quindi copiate o prendete nota del ARN valore del ruolo. Questo Amazon Resource Name (ARN) per il ruolo viene utilizzato quando invii un comando configurato per restituire SNS notifiche Amazon.
-
Tenere aperta la pagina Summary (Riepilogo).
Attività 4: configurazione dell'accesso utente
Se a un'IAMentità (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo ha accesso a Run Command e Maintenance Windows alle funzionalità di AWS Systems Manager.
Per le entità senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità: IAM
-
La policy gestita
AmazonSSMFullAccess
o una policy che fornisce autorizzazioni analoghe. -
Le autorizzazioni
iam:PassRole
per il ruolo creato in Attività 3: creare un IAM ruolo per SNS le notifiche Amazon. Per esempio:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
account-id
:role/sns-role-name
" } ] }
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Per configurare l'accesso utente e collegare la policy iam:PassRole
a un account utente
-
Nel riquadro di IAM navigazione, scegli Utenti, quindi scegli l'account utente che desideri configurare.
-
Nella scheda Permissions (Autorizzazioni) dell'elenco delle policy, verificare che sia presente la policy
AmazonSSMFullAccess
o una policy equivalente che assegni all'account le autorizzazioni di accesso a Systems Manager. -
Scegliere Add inline policy (Aggiungi policy inline).
-
Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).
-
Scegli un servizio, quindi scegli IAM.
-
Per Azioni, nella casella di testo Filtra azioni
PassRole
, inserisci e quindi seleziona la casella di controllo accanto a PassRole. -
Per Risorse, verifica che sia selezionata l'opzione Specifico, quindi scegli Aggiungi ARN.
-
Nel campo ARNSpecify for role, incolla il SNS IAM ruolo Amazon ARN che hai copiato alla fine del Task 3. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).
-
Scegliere Add (Aggiungi).
-
Scegliere Review policy (Rivedi policy).
-
Nella pagina Review Policy (Rivedi policy), inserire un nome, quindi scegliere Create Policy (Crea policy).
Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione
Quando registri un'Run Commandattività con una finestra di manutenzione, specifichi un ruolo di servizio Amazon Resource Name (ARN). Questo ruolo di servizio viene utilizzato da Systems Manager per l'esecuzione di attività registrate nella finestra di manutenzione. Per configurare SNS le notifiche Amazon per un'Run Commandattività registrata, allega una iam:PassRole
policy al ruolo di servizio della finestra di manutenzione specificato. Se non intendi configurare l'attività registrata per SNS le notifiche di Amazon, puoi saltare questa attività.
La iam:PassRole
policy consente al ruolo di Maintenance Windows servizio di trasferire il SNS IAM ruolo Amazon creato nel Task 3 al SNS servizio Amazon. La procedura seguente mostra come collegare la policy iam:PassRole
al ruolo di servizio Maintenance Windows.
Nota
Per inviare notifiche correlate alle attività Run Command registrate, occorre utilizzare un ruolo di servizio personalizzato per la finestra di manutenzione. Per informazioni, consultare Configurazione di Maintenance Windows.
Se hai bisogno di creare un ruolo di servizio personalizzato per le attività della finestra di manutenzione, consulta la sezione Configurazione di Maintenance Windows.
Per collegare la policy iam:PassRole
al proprio ruolo Maintenance Windows
-
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, scegli Ruoli e seleziona il SNS IAM ruolo Amazon creato nel Task 3.
-
Copia o prendi nota del ruolo ARN e torna alla sezione Ruoli della IAM console.
-
Selezionare il ruolo di servizio personalizzato Maintenance Windows creato dall'elenco Role name (Nome ruolo).
-
Nella scheda Autorizzazioni, verifica che il
AmazonSSMMaintenanceWindowRole
criterio sia elencato o che esista un criterio analogo che conceda l'autorizzazione per le finestre di manutenzione al Systems ManagerAPI. In caso contrario, scegli Aggiungi autorizzazioni, Collega policy per collegarla. -
Scegli Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy inline).
-
Scegliere la scheda Visual Editor (Editor visivo).
-
Per Assistenza, scegli IAM.
-
Per Azioni, nella casella di testo Filtra azioni
PassRole
, immettete e quindi selezionate la casella di controllo accanto a PassRole. -
Per Risorse, scegli Specifico, quindi scegli Aggiungi ARN.
-
Nella casella Specificare ARN per ruolo, incolla il ARN SNS IAM ruolo Amazon creato nell'Attività 3, quindi scegli Aggiungi.
-
Scegli Verifica policy.
-
Nella pagina Rivedi policy, specifica un nome per la policy
PassRole
, quindi scegli Crea policy.