Criar um tópico do Amazon SNS para notificações de anomalias - AWS Gestão de custos
Conferir ou reenviar e-mails de confirmação de notificaçãoProtegendo seus dados de alertas de detecção de anomalias do Amazon SNS com SSE e AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um tópico do Amazon SNS para notificações de anomalias

Para criar um monitor de detecção de anomalias que envia notificações para um tópico do Amazon Simple Notification Service (Amazon SNS), você já deve ter um tópico do Amazon SNS ou criar um. Você pode usar os tópicos do Amazon SNS para enviar notificações pelo SNS, além do e-mail. AWS A Detecção de anomalias de custo deve ter permissões para enviar uma notificação ao seu tópico.

Para criar um tópico de notificação do Amazon SNS e conceder permissões

  1. Faça login no AWS Management Console e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Tópicos.

  3. Escolha Criar tópico.

  4. Em Nome, insira o nome do tópico de notificação.

  5. (Opcional) Em Nome de exibição, insira o nome a ser exibido quando você recebe uma notificação.

  6. Em Política de acesso, selecione Avançado.

  7. No campo de texto da política, depois de "Statement": [, adicione uma das seguintes instruções:

    Para permitir que o serviço AWS Cost Anomaly Detection publique no tópico do Amazon SNS, use a seguinte declaração.

    {
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN"
}

    Para permitir que o serviço de Detecção de Anomalias de AWS Custo publique no tópico do Amazon SNS somente em nome de uma determinada conta, use a seguinte declaração.

    {
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN",
  "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "account-ID"
          ]
        }
  }
}
    nota

    Nesta política de tópico, você insere o ID da conta da assinatura como o valor da condição aws:SourceAccount. Essa condição faz com que a detecção de anomalias de custo da AWS interaja com o tópico do Amazon SNS somente ao realizar operações para a conta proprietária da assinatura.

    Você pode restringir a Detecção de Anomalias de AWS Custo para interagir com o tópico somente ao realizar operações em nome de uma assinatura específica. Para fazer isso, use a condição aws:SourceArn na política de tópico.

    Para obter mais informações sobre estas condições, consulte aws:SourceAccount e aws:SourceArn, no Guia do usuário do IAM.

  8. Na declaração de política de tópico que você selecionar, substitua os seguintes valores:

    • Substitua (por exemplo, AWSAnomalyDetectionSNSPublishingPermissions) por uma string. O Sid deve ser exclusivo na política.

    • Substitua seu tópico ARN pelo nome do recurso da Amazon (ARN) do Amazon SNS.

    • Se você estiver usando o extrato com a condição aws:SourceAccount, substitua o ID da conta pelo ID da conta que possui a assinatura. Se o tópico do Amazon SNS tiver várias assinaturas de contas diferentes, adicione vários IDs de conta à condição aws:SourceAccount.

  9. Escolha Criar tópico.

    Seu tópico agora é exibido na lista de tópicos na página Tópicos.

Conferir ou reenviar e-mails de confirmação de notificação

Ao criar um monitor de detecção de anomalias com notificações, você também cria notificações do Amazon SNS. Para que as notificações sejam enviadas, é necessário aceitar a assinatura no tópico de notificações do Amazon SNS.

Para confirmar se as assinaturas das notificações são aceitas ou para reenviar um e-mail de confirmação de assinatura, use o console do Amazon SNS.

Para consultar o status de notificação ou reenviar um e-mail de confirmação de notificação

  1. Faça login no AWS Management Console e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Subscriptions.

  3. Verifique o status da sua notificação. Em Status, será exibido PendingConfirmation se uma inscrição for aceita e confirmada.

  4. (Opcional) Para reenviar uma solicitação de confirmação, selecione a assinatura com confirmação pendente e escolha Confirmação da solicitação. O Amazon SNS enviará uma solicitação de confirmação para os endpoints inscritos para a notificação.

    Ao receber o e-mail, os proprietários de um endpoint devem selecionar o link Confirmar inscrição para ativar a notificação.

Protegendo seus dados de alertas de detecção de anomalias do Amazon SNS com SSE e AWS KMS

É possível usar a criptografia do lado do servidor (SSE) para transferir dados confidenciais em tópicos criptografados. A SSE protege mensagens do Amazon SNS usando chaves gerenciadas no AWS Key Management Service (AWS KMS).

Para gerenciar o SSE usando AWS Management Console o AWS SDK, consulte Como ativar a criptografia do lado do servidor (SSE) para um tópico do Amazon SNS no Guia de conceitos básicos do Amazon Simple Notification Service.

Para criar tópicos criptografados usando AWS CloudFormation, consulte o Guia AWS CloudFormation do usuário.

A SSE criptografa mensagens assim que o Amazon SNS as recebe. As mensagens são armazenadas criptografadas e são descriptografadas usando o Amazon SNS somente quando são enviadas.

Configurando permissões AWS KMS

Você deve configurar suas políticas de AWS KMS chaves antes de poder usar a criptografia do lado do servidor (SSE). Você pode usar esta configuração para criptografar tópicos, além de criptografar e descriptografar mensagens. Para obter informações sobre AWS KMS permissões, consulte Permissões de AWS KMS API: referência de ações e recursos no Guia do AWS Key Management Service desenvolvedor.

Você também pode usar as políticas do IAM para gerenciar as AWS KMS principais permissões. Para obter mais informações, consulte Uso de políticas do IAM com o AWS KMS.

nota

Você pode configurar permissões globais para enviar e receber mensagens do Amazon SNS. No entanto, AWS KMS exige que você nomeie o Amazon Resource Name (ARN) completo do AWS KMS keys (chaves KMS) no nome específico. Regiões da AWSÉ possível encontrar isso na seção Resource (Recurso) de uma política do IAM.

Garanta que as políticas de chaves da chave do KMS concedam as permissões necessárias. Para fazer isso, indique as entidades principais que produzem e consomem mensagens criptografadas no Amazon SNS como usuários na política de chaves do KMS.

Para permitir a compatibilidade entre a detecção de anomalias de AWS custo e tópicos criptografados do Amazon SNS

  1. Crie uma chave do KMS.

  2. Adicione uma das seguintes políticas como política de chave do KMS:

    Para conceder ao serviço de Detecção de Anomalias de AWS Custo acesso à chave KMS, use a seguinte declaração.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "costalerts.amazonaws.com"
        },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
        ],
    "Resource": "*"
    }]
    }

    Para conceder ao serviço de Detecção de Anomalias de AWS Custo acesso à chave KMS somente ao realizar operações em nome de uma determinada conta, use a seguinte declaração.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "costalerts.amazonaws.com"
        },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
        ],
    	"Resource": "*",
    	"Condition": {
        	"StringEquals": {
          		"aws:SourceAccount": [
            			"account-ID"
          		]
        	}
    	}
    }]
}
    nota

    Nessa política de chave do KMS, você insere o ID da conta da assinatura como o valor da condição aws:SourceAccount. Essa condição faz com que a Detecção de Anomalias de AWS Custo interaja com a chave KMS somente ao realizar operações para a conta proprietária da assinatura.

    Para que a Detecção de Anomalias de AWS Custo interaja com a chave KMS somente ao realizar operações em nome de uma assinatura específica, use a aws:SourceArn condição na política de chaves do KMS.

    Para obter mais informações sobre estas condições, consulte aws:SourceAccount e aws:SourceArn, no Guia do usuário do IAM.

  3. Se você estiver usando a política de chave do KMS com a condição aws:SourceAccount, substitua o ID da conta pelo ID da conta que possui a assinatura. Se o tópico do Amazon SNS tiver várias assinaturas de contas diferentes, adicione vários IDs de conta à condição aws:SourceAccount.

  4. Habilite a SSE para seu tópico do SNS.

    nota

    Use a mesma chave do KMS que concede as permissões de Detecção de anomalias de custo da AWS para publicar em tópicos criptografados do Amazon SNS.

  5. Escolha Salvar alterações.