기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon SNS 주제에 대한 권한
이 주제에서는 구성 방법을 설명합니다. AWS Config 다른 계정이 소유한 Amazon SNS 주제를 전달하기 위한 것입니다. AWS Config Amazon SNS 주제에 알림을 보내는 데 필요한 권한이 있어야 합니다. 동일 계정 설정의 경우 AWS Config 콘솔이 Amazon SNS 주제를 생성하거나 사용자가 자신의 계정에서 Amazon SNS 주제를 선택합니다. AWS Config Amazon SNS 주제에 필요한 권한이 포함되어 있고 보안 모범 사례를 따르는지 확인합니다.
참고
AWS Config 현재는 동일한 지역 및 계정 간 액세스만 지원합니다. SNS문제 해결에 사용되는 주제 AWS Systems Manager (SSM) 문서 또는 레코더 전송 채널용 문서는 지역 간에 사용할 수 없습니다.
목차
IAM역할 사용 시 Amazon SNS 주제에 필요한 권한
권한 정책을 다른 계정이 소유한 Amazon SNS 주제에 연결할 수 있습니다. 다른 계정의 Amazon SNS 주제를 사용하려면 기존 Amazon SNS 주제에 다음 정책을 추가해야 합니다.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "arn:aws:sns:region:account-id:myTopic", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
Resource키의 경우,account-id 는 AWS
주제 소유자의 계정 번호입니다. 에 대해 account-id1,
account-id2, 및 account-id3, 사용 AWS 계정 그러면 Amazon SNS 주제로 데이터가 전송됩니다. 다음과 같이 적절한 값으로 대체할 수 있습니다.region 그리고 myTopic.
일시 AWS Config Amazon SNS 주제에 알림을 보내면 먼저 역할 사용을 시도하지만 IAM 역할 또는 다음과 같은 경우 시도가 실패합니다. AWS 계정 주제에 게시할 권한이 없습니다. 이 경우, AWS Config 이번에는 다음과 같이 알림을 다시 보냅니다. AWS Config 서비스 사용자 이름 (SPN). 게시가 성공하려면 먼저 주제의 액세스 정책이 sns:Publish에게 config.amazonaws.com 보안 주체 이름에 액세스할 수 있는 권한을 부여해야 합니다. 다음 섹션에 설명된 액세스 정책을 Amazon SNS 주제에 첨부하여 권한을 부여해야 합니다. AWS Config IAM역할에 SNS 주제를 게시할 권한이 없는 경우 Amazon 주제에 액세스할 수 있습니다.
서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한
The AWS Config 서비스 연결 역할에는 Amazon SNS 주제에 액세스할 권한이 없습니다. 따라서 다음과 같이 설정하면 AWS Config 서비스 연결 역할 () SLR 을 사용하여 AWS Config 다음과 같이 정보를 보냅니다. AWS Config 대신 서비스 주체입니다. 권한을 부여하려면 Amazon SNS 주제에 아래에 언급된 액세스 정책을 첨부해야 합니다. AWS Config Amazon SNS 주제로 정보를 전송할 수 있는 액세스 권한
동일 계정 설정의 경우, Amazon SNS 주제와 SLR A가 동일한 계정에 속하고 Amazon SNS 정책에서 SLR "sns:Publish" 권한을 부여하면 다음을 사용할 필요가 없습니다. AWS Config
SPN. 아래의 권한 정책 및 보안 모범 사례 권장 사항은 교차 계정 설정을 위한 것입니다.
부여 AWS Config Amazon SNS 주제에 대한 액세스.
이 정책은 다음을 허용합니다. AWS Config Amazon SNS 주제에 알림을 보낼 수 있습니다. 부여하려면 AWS Config 다른 계정에서 Amazon SNS 주제에 액세스하려면 다음 권한 정책을 첨부해야 합니다.
참고
보안 모범 사례로서 다음 사항을 확인하는 것이 좋습니다. AWS Config AWS:SourceAccount조건에 나열된 계정에 대한 액세스를 제한하여 예상 사용자만 대신하여 리소스에 액세스합니다.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigSNSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:myTopic", "Condition" : { "StringEquals": { "AWS:SourceAccount": [ "account-id1", "account-id2", "account-id3" ] } } } ] }
Resource키의 경우,account-id 는 AWS
주제 소유자의 계정 번호입니다. 에 대해 account-id1,
account-id2, 및 account-id3, 사용 AWS 계정 그러면 Amazon SNS 주제로 데이터가 전송됩니다. 다음과 같이 적절한 값으로 대체할 수 있습니다.region 그리고 myTopic.
이전 Amazon SNS 주제 정책의 AWS:SourceAccount 조건을 사용하여 다음을 제한할 수 있습니다. AWS Config 특정 계정을 대신하여 작업을 수행할 때 Amazon SNS 주제와만 상호 작용하기 위한 서비스 사용자 이름 (SPN)
AWS Config 또한 다음을 제한하는 AWS:SourceArn 조건을 지원합니다. AWS Config
특정 사용자를 대신하여 작업을 수행할 때만 S3 버킷과 상호 작용하는 서비스 사용자 이름 (SPN) AWS Config 전송 채널. 사용 시 AWS Config 서비스 사용자 이름 (SPN) 의 AWS:SourceArn 속성은 항상 sourceRegion d는 전송 채널의 지역, sourceAccountID 는 전송 채널이 포함된 계정의 ID로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 에 대한 자세한 내용은 AWS Config 전송 채널 관리를 참조하십시오. 예를 들어 다음 조건을 추가하여 다음을 제한할 수 있습니다. AWS Config 계정 내 us-east-1 지역 내 전송 채널을 대신해서만 S3 버킷과 상호 작용하기 위한 서비스 주체 이름 (SPN)123456789012:"ArnLike":
{"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.
Amazon SNS 주제에 대한 문제 해결
AWS Config Amazon SNS 주제에 알림을 보낼 권한이 있어야 합니다. Amazon SNS 주제가 알림을 받을 수 없는 경우 IAM 역할이 다음과 같은지 확인하십시오. AWS Config 필요한 sns:Publish 권한이 있다고 가정했습니다.
