翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SNSトピックのアクセス許可
このトピックでは、 を設定する方法について説明します。 AWS Config 別のアカウントが所有する Amazon SNSトピックを配信する 。 AWS Config には、Amazon SNSトピックに通知を送信するために必要なアクセス許可が必要です。同一アカウント設定の場合、 AWS Config コンソールで Amazon SNSトピックを作成するか、自分のアカウントから Amazon SNSトピックを選択します。 AWS Config は、Amazon SNSトピックに必要なアクセス許可が含まれ、セキュリティのベストプラクティスに従っていることを確認します。
注記
AWS Config は現在、同じリージョンおよびアカウント間のアクセスのみをサポートしています。SNS 修復に使用される トピック AWS Systems Manager レコーダー配信チャネルの (SSM) ドキュメントまたは をクロスリージョンにすることはできません。
目次
IAM ロールを使用するときに Amazon SNS トピックに必要なアクセス許可
別のアカウントが所有する Amazon SNSトピックにアクセス許可ポリシーをアタッチできます。別のアカウントの Amazon SNSトピックを使用する場合は、既存の Amazon SNSトピックに次のポリシーをアタッチしてください。
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Resource キーの場合、account-id は AWS
トピック所有者の アカウント番号。[ account-id1,
account-id2 および account-id3、 を使用します。 AWS アカウント Amazon SNSトピックにデータを送信する 。適切な値を に置き換えることができます。region また、myTopic.
メトリック AWS Config は Amazon SNSトピックに通知を送信し、最初にIAMロールを使用しようとしますが、ロール または の場合、この試行は失敗します。 AWS アカウント には、トピックに発行するアクセス許可がありません。この場合、 AWS Config は再度通知を送信します。今回は として送信します。 AWS Config サービスプリンシパル名 (SPN)。配信が正常に実行される前に、オピックのためのアクセスポリシーは sns:Publish プリンシパル名にconfig.amazonaws.com アクセスを許可する必要があります。次のセクションで説明するアクセスポリシーを、付与する Amazon SNSトピックにアタッチする必要があります。 AWS Config IAM ロールにSNSトピックに発行するアクセス許可がない場合の Amazon トピックへのアクセス。
サービスにリンクされたロールを使用するときに Amazon SNSトピックに必要なアクセス許可
- AWS Config サービスにリンクされたロールには、Amazon SNSトピックへのアクセス許可がありません。したがって、 をセットアップすると、 AWS Config サービスにリンクされたロール (SLR) の使用、 AWS Config は として情報を送信します。 AWS Config 代わりに サービスプリンシパル。以下のアクセスポリシーを Amazon SNSトピックにアタッチして付与する必要があります。 AWS Config Amazon SNSトピックに情報を送信するための アクセス。
同じアカウント設定の場合、Amazon SNSトピック と SLR が同じアカウントにあり、Amazon SNSポリシーがSLR「」アクセスsns:Publish許可を付与する場合、 を使用する必要はありません。 AWS Config
SPN。以下のアクセス許可ポリシーとセキュリティのベストプラクティスの推奨事項は、クロスアカウント設定のためのものです。
付与 AWS Config Amazon SNSトピックへのアクセス。
このポリシーでは、 AWS Config Amazon SNSトピックに通知を送信する 。を付与するには AWS Config 別のアカウントから Amazon SNSトピックへのアクセスには、次のアクセス許可ポリシーをアタッチする必要があります。
注記
セキュリティのベストプラクティスとして、以下を確認することを強くお勧めします。 AWS Config は、 AWS:SourceAccount条件にリストされているアカウントへのアクセスを制限することによってのみ、予想されるユーザーに代わってリソースにアクセスします。
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Resource キーの場合、account-id は AWS
トピック所有者の アカウント番号。[ account-id1,
account-id2 および account-id3、 を使用します。 AWS アカウント Amazon SNSトピックにデータを送信する 。適切な値を に置き換えることができます。region また、myTopic.
前の Amazon SNSトピックポリシーの AWS:SourceAccount条件を使用して、 を制限できます。 AWS Config 特定のアカウントに代わってオペレーションを実行するときに Amazon SNSトピックとのみやり取りする サービスプリンシパル名 (SPN)。
AWS Config は、 を制限する AWS:SourceArn条件もサポートします。 AWS Config
特定の に代わってオペレーションを実行するときに S3 バケットとのみやり取りする サービスプリンシパル名 (SPN) AWS Config 配信チャネル。を使用する場合 AWS Config サービスプリンシパル名 (SPN)、 AWS:SourceArn プロパティは常に に設定されます。arn:aws:config:sourceRegion:sourceAccountID:*ここで、 sourceRegion は配信チャネルのリージョンであり、 sourceAccountIDは配信チャネルを含むアカウントの ID です。の詳細については、「」を参照してください。 AWS Config 配信チャネルについては、「配信チャネルの管理」を参照してください。例えば、次の条件を追加して を制限します。 AWS Config アカウント のus-east-1リージョン の配信チャネルに代わってのみ S3 バケットとやり取りする サービスプリンシパル名 (SPN)123456789012"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}。
Amazon SNSトピックのトラブルシューティング
AWS Config には、Amazon SNSトピックに通知を送信するアクセス許可が必要です。Amazon SNSトピックが通知を受信できない場合は、 IAM AWS Config は、 に必要なsns:Publishアクセス許可があると仮定していました。
