Monitoraggio delle modifiche allo stato di Systems Manager tramite SNS le notifiche di Amazon - AWS Systems Manager
Configura SNS le notifiche Amazon per AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio delle modifiche allo stato di Systems Manager tramite SNS le notifiche di Amazon

Nota

FIFOGli argomenti di Amazon Simple Notification Service non sono supportati.

Puoi configurare Amazon Simple Notification Service (AmazonSNS) per inviare notifiche sullo stato dei comandi che invii utilizzando Run Command oMaintenance Windows, quali sono funzionalità di AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna di notifiche a clienti o endpoint abbonati agli argomenti di AmazonSNS. È possibile ricevere una notifica ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio Failed (Non riuscito) o Timed Out (Sottoposto a timeout). Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Ogni copia è denominata invocazione.

Amazon SNS può inviare notifiche come HTTP o HTTPSPOST, e-mail (SMTPtesto semplice o in JSON formato) o come messaggio pubblicato in una coda Amazon Simple Queue Service (AmazonSQS). Per ulteriori informazioni, consulta What is Amazon SNS nella Amazon Simple Notification Service Developer Guide. Per esempi della struttura dei JSON dati inclusi nella SNS notifica Amazon fornita da Run Command eMaintenance Windows, consultaEsempi di SNS notifiche Amazon per AWS Systems Manager.

Configura SNS le notifiche Amazon per AWS Systems Manager

Run Commande Maintenance Windows le attività registrate in una finestra di manutenzione possono inviare SNS notifiche Amazon per attività di comando che inseriscono i seguenti stati:

  • In Progress (In corso)

  • Riuscito

  • Non riuscito

  • Timed Out (Timeout)

  • Annullato

Per informazioni sulle condizioni che determinano il passaggio di un comando a uno di questi stati, si veda Informazioni sugli stati dei comandi.

Nota

I comandi inviati mediante Run Command indicano anche gli stati In fase di eliminazione e In attesa. Questi stati non vengono rilevati dalle SNS notifiche di Amazon.

Riepilogo dei comandi SNS Notifiche Amazon

Se configuri Run Command o esegui un'Run Commandattività nella finestra di manutenzione per SNS le notifiche Amazon, Amazon SNS invia messaggi di riepilogo che includono le seguenti informazioni.

Campo Type Descrizione

eventTime

Stringa

Ora di inizio dell'evento. Il timestamp è importante SNS perché Amazon non garantisce l'ordine di consegna dei messaggi. Esempio: 2016-04-26T13:15:30Z

documentName

Stringa

Il nome del SSM documento utilizzato per eseguire questo comando.

commandId

Stringa

L'ID generato da Run Command dopo l'invio del comando.

expiresAfter

Data

Se si raggiunge questo istante prima che inizi l'esecuzione del comando, il comando non viene eseguito.

Uscite 3 BucketName

Stringa

Il bucket Amazon Simple Storage Service (Amazon S3) in cui devono essere archiviate le risposte all'esecuzione del comando.

Uscite S3 KeyPrefix

Stringa

Il percorso della directory di Amazon S3 all'interno del bucket in cui devono essere archiviate le risposte all'esecuzione del comando.

requestedDateTime

Stringa

Data e ora di invio della richiesta a questo nodo specifico.

instanceIds

StringList

I nodi a cui è destinato il comando.

Nota

IDsLe istanze sono incluse nel messaggio di riepilogo solo se l'Run Commandattività ha come obiettivo diretto l'istanza. IDs IDsLe istanze non sono incluse nel messaggio di riepilogo se l'Run Commandattività è stata emessa utilizzando il targeting basato su tag.

status

Stringa

Lo stato del comando.

Notifiche Amazon basate su invocazioni SNS

Se invii un comando a più nodi, Amazon SNS può inviare messaggi su ogni copia o invocazione del comando. I messaggi includono le informazioni riportate di seguito.

Campo Type Descrizione

eventTime

Stringa

Ora di inizio dell'evento. Il timestamp è importante SNS perché Amazon non garantisce l'ordine di consegna dei messaggi. Esempio: 2016-04-26T13:15:30Z

documentName

Stringa

Il nome del documento Systems Manager (SSMdocumento) utilizzato per eseguire questo comando.

requestedDateTime

Stringa

Data e ora di invio della richiesta a questo nodo specifico.

commandId

Stringa

L'ID generato da Run Command dopo l'invio del comando.

instanceId

Stringa

L'istanza di destinazione per il comando.

status

Stringa

Lo stato del comando per questa invocazione.

Per configurare SNS le notifiche Amazon quando un comando cambia lo stato, completa le seguenti attività.

Nota

Se non stai configurando SNS le notifiche di Amazon per la finestra di manutenzione, puoi saltare il Task 5 più avanti in questo argomento.

Attività 1: creare e sottoscrivere un SNS argomento Amazon

Un SNS argomento di Amazon è un canale di comunicazione utilizzato Run Command e dalle Run Command attività registrate in una finestra di manutenzione per inviare notifiche sullo stato dei comandi. Amazon SNS supporta diversi protocolli di comunicazione, tra cui HTTP /S, e-mail e altri AWS servizi come Amazon Simple Queue Service (AmazonSQS). Per iniziare rapidamente, consigliamo di scegliere il protocollo e-mail. Per informazioni su come creare un argomento, consulta Creating an Amazon SNS topic nella Amazon Simple Notification Service Developer Guide.

Nota

Dopo aver creato l'argomento, copia o prendi nota dell'argomento ARN. Lo specificate ARN quando inviate un comando configurato per restituire notifiche di stato.

Dopo aver creato l'argomento, effettuare la sottoscrizione specificando un Endpoint. Se si sceglie il protocollo e-mail, l'endpoint è l'indirizzo e-mail a cui si desidera ricevere le notifiche. Per ulteriori informazioni su come iscriversi a un argomento, consulta Abbonamento a un SNS argomento Amazon nella Amazon Simple Notification Service Developer Guide.

Amazon SNS invia un'e-mail di conferma da AWS Notifiche all'indirizzo e-mail specificato. Aprire la e-mail e selezionare il collegamento Confirm subscription (Conferma sottoscrizione).

Riceverai un messaggio di conferma da. AWS Amazon SNS è ora configurato per ricevere notifiche e inviarle come e-mail all'indirizzo e-mail che hai specificato.

Attività 2: creare una IAM politica per SNS le notifiche Amazon

Utilizza la seguente procedura per creare una policy personalizzata AWS Identity and Access Management (IAM) che fornisca le autorizzazioni per avviare le notifiche AmazonSNS.

Per creare una IAM politica personalizzata per SNS le notifiche di Amazon

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Policies (Policy) e Create Policy (Crea policy). (Se viene visualizzato il pulsante Get Started (Inizia), sceglierlo, quindi scegliere Create Policy (Crea policy)).

  3. Scegli la JSONscheda.

  4. Sostituire il contenuto di default con il seguente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:region:account-id:sns-topic-name"
        }
    ]
}

    region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

    account-id rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. 123456789012

    sns-topic-name rappresenta il nome dell'SNSargomento Amazon che desideri utilizzare per la pubblicazione delle notifiche.

  5. Scegli Successivo: Tag.

  6. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.

  7. Scegli Prossimo: Rivedi.

  8. Nella pagina Review policy (Rivedi policy), per Name (Nome) inserire un nome per la policy inline. Ad esempio: my-sns-publish-permissions.

  9. (Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.

  10. Scegliere Create Policy (Crea policy).

Attività 3: creare un IAM ruolo per SNS le notifiche Amazon

Utilizza la seguente procedura per creare un IAM ruolo per SNS le notifiche Amazon. Questo ruolo di servizio viene utilizzato da Systems Manager per avviare SNS le notifiche Amazon. In tutte le procedure successive, questo ruolo viene denominato SNS IAM ruolo Amazon.

Per creare un ruolo IAM di servizio per SNS le notifiche di Amazon

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Scegli il tipo di ruolo AWS servizio, quindi scegli Systems Manager.

  4. Scegli il caso d'uso Systems Manager. Quindi, seleziona Next (Successivo).

  5. Nella pagina Attach permissions policies (Collega policy di autorizzazioni), selezionare la casella a sinistra del nome della policy personalizzata creata nell'attività 2. Ad esempio: my-sns-publish-permissions.

  6. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAMinclude un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione IAM delle politiche nella Guida IAM per l'utente. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per selezionare la policy da utilizzare per il limite delle autorizzazioni.

  7. Scegli Next (Successivo).

  8. Se possibile, specifica un nome del ruolo o un suffisso del nome del ruolo per facilitare l'identificazione dello scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia PRODROLE che prodrole. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.

  9. (Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.

  10. Scegli Edit (Modifica) nelle sezioni Step 1: Select trusted entities (Fase 1: seleziona le entità attendibili) o Step 2: Select permissions (Fase 2: seleziona autorizzazioni) per modificare i casi d'uso e le autorizzazioni per il ruolo.

  11. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM le risorse nella Guida per l'IAMutente.

  12. Rivedere il ruolo e scegliere Crea ruolo.

  13. Scegliete il nome del ruolo, quindi copiate o prendete nota del ARN valore del ruolo. Questo Amazon Resource Name (ARN) per il ruolo viene utilizzato quando invii un comando configurato per restituire SNS notifiche Amazon.

  14. Tenere aperta la pagina Summary (Riepilogo).

Attività 4: configurazione dell'accesso utente

Se a un'IAMentità (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo ha accesso a Run Command e Maintenance Windows alle funzionalità di AWS Systems Manager.

Per le entità senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità: IAM

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/sns-role-name"
        }
    ]
}

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Per configurare l'accesso utente e collegare la policy iam:PassRole a un account utente

  1. Nel riquadro di IAM navigazione, scegli Utenti, quindi scegli l'account utente che desideri configurare.

  2. Nella scheda Permissions (Autorizzazioni) dell'elenco delle policy, verificare che sia presente la policy AmazonSSMFullAccess o una policy equivalente che assegni all'account le autorizzazioni di accesso a Systems Manager.

  3. Scegliere Add inline policy (Aggiungi policy inline).

  4. Nella pagina Create Policy (Crea policy), scegliere la scheda Visual editor (Editor visivo).

  5. Scegli un servizio, quindi scegli IAM.

  6. Per Azioni, nella casella di testo Filtra azioniPassRole, inserisci e quindi seleziona la casella di controllo accanto a PassRole.

  7. Per Risorse, verifica che sia selezionata l'opzione Specifico, quindi scegli Aggiungi ARN.

  8. Nel campo ARNSpecify for role, incolla il SNS IAM ruolo Amazon ARN che hai copiato alla fine del Task 3. Il sistema popola automaticamente i campi Account e Role name with path (Nome ruolo con percorso).

  9. Scegliere Add (Aggiungi).

  10. Scegliere Review policy (Rivedi policy).

  11. Nella pagina Review Policy (Rivedi policy), inserire un nome, quindi scegliere Create Policy (Crea policy).

Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione

Quando registri un'Run Commandattività con una finestra di manutenzione, specifichi un ruolo di servizio Amazon Resource Name (ARN). Questo ruolo di servizio viene utilizzato da Systems Manager per l'esecuzione di attività registrate nella finestra di manutenzione. Per configurare SNS le notifiche Amazon per un'Run Commandattività registrata, allega una iam:PassRole policy al ruolo di servizio della finestra di manutenzione specificato. Se non intendi configurare l'attività registrata per SNS le notifiche di Amazon, puoi saltare questa attività.

La iam:PassRole policy consente al ruolo di Maintenance Windows servizio di trasferire il SNS IAM ruolo Amazon creato nel Task 3 al SNS servizio Amazon. La procedura seguente mostra come collegare la policy iam:PassRole al ruolo di servizio Maintenance Windows.

Nota

Per inviare notifiche correlate alle attività Run Command registrate, occorre utilizzare un ruolo di servizio personalizzato per la finestra di manutenzione. Per informazioni, consultare Configurazione di Maintenance Windows.

Se hai bisogno di creare un ruolo di servizio personalizzato per le attività della finestra di manutenzione, consulta la sezione Configurazione di Maintenance Windows.

Per collegare la policy iam:PassRole al proprio ruolo Maintenance Windows

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli e seleziona il SNS IAM ruolo Amazon creato nel Task 3.

  3. Copia o prendi nota del ruolo ARN e torna alla sezione Ruoli della IAM console.

  4. Selezionare il ruolo di servizio personalizzato Maintenance Windows creato dall'elenco Role name (Nome ruolo).

  5. Nella scheda Autorizzazioni, verifica che il AmazonSSMMaintenanceWindowRole criterio sia elencato o che esista un criterio analogo che conceda l'autorizzazione per le finestre di manutenzione al Systems ManagerAPI. In caso contrario, scegli Aggiungi autorizzazioni, Collega policy per collegarla.

  6. Scegli Add permissions, Create inline policy (Aggiungi autorizzazioni, Crea policy inline).

  7. Scegliere la scheda Visual Editor (Editor visivo).

  8. Per Assistenza, scegli IAM.

  9. Per Azioni, nella casella di testo Filtra azioniPassRole, immettete e quindi selezionate la casella di controllo accanto a PassRole.

  10. Per Risorse, scegli Specifico, quindi scegli Aggiungi ARN.

  11. Nella casella Specificare ARN per ruolo, incolla il ARN SNS IAM ruolo Amazon creato nell'Attività 3, quindi scegli Aggiungi.

  12. Scegli Verifica policy.

  13. Nella pagina Rivedi policy, specifica un nome per la policy PassRole, quindi scegli Crea policy.