(Opcional) Configurar o Amazon SNS para receber notificações sobre OpsItems - AWS Systems Manager
Etapa 1: criar e assinar um tópico do Amazon SNSEtapa 2: atualizar a política de acesso do Amazon SNSEtapa 3: atualizar a política de acesso do AWS KMSEtapa 4: ativar as regras padrão do OpsItems para envio de notificações para novos OpsItems

(Opcional) Configurar o Amazon SNS para receber notificações sobre OpsItems

É possível configurar o OpsCenter para enviar notificações a um tópico do Amazon Simple Notification Service (Amazon SNS) quando o sistema criar um OpsItem ou atualizar um OpsItem existente.

Conclua as etapas a seguir para receber notificações de OpsItems.

Etapa 1: criar e assinar um tópico do Amazon SNS

Para receber notificações, crie e assine um tópico do Amazon SNS. Para obter informações, consulte Criar um tópico do Amazon SNS e Assinar tópico do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

nota

Caso esteja usando o OpsCenter em diversas contas ou Regiões da AWS, você deverá criar e assinar um tópico do Amazon SNS em cada região ou conta em que deseja receber notificações do OpsItem.

Etapa 2: atualizar a política de acesso do Amazon SNS

É necessário associar um tópico do Amazon SNS a OpsItems. Use o procedimento a seguir para configura uma política de acesso do Amazon SNS para que o Systems Manager possa publicar notificações do OpsItems no tópico do Amazon SNS que você criou na Etapa 1.

  1. Faça login no AWS Management Console e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Tópicos.

  3. Escolha o tópico criado na Etapa 1 e, em seguida, selecione Editar.

  4. Expanda Access policy (Política de acesso).

  5. Adicione o seguinte bloco Sid à política existente. Substitua cada espaço reservado para recurso de exemplo por suas próprias informações.

    {
      "Sid": "Allow OpsCenter to publish to this topic",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
      "Condition": {
      "StringEquals": {
        "AWS:SourceAccount": "account ID" //  Account ID of the OpsItem owner
      }
   }
}
    nota

    A chave de condição global aws:SourceAccount protege contra o cenário confused deputy. Para usar essa chave de condição, defina o valor como o ID da conta do proprietário do OpsItem. Para obter mais informações, consulte O problema de “confused deputy” no Guia do usuário do IAM.

  6. Escolha Salvar alterações.

O sistema agora envia notificações ao tópico do Amazon SNS quando OpsItems são criados ou atualizados.

Importante

Caso configure o tópico do Amazon SNS com uma chave de criptografia no lado do servidor do AWS Key Management Service (AWS KMS) na Etapa 2, você deverá concluir a Etapa 3. Caso contrário, você pode ignorar a Etapa 3.

Etapa 3: atualizar a política de acesso do AWS KMS

Caso tenha ativado a criptografia no lado do servidor do AWS KMS para seu tópico do Amazon SNS, você também deverá atualizar a política de acesso da AWS KMS key escolhida ao configurar o tópico. Use o procedimento a seguir para atualizar a política de acesso para que o Systems Manager possa publicar notificações do OpsItem no tópico do Amazon SNS criado na Etapa 1.

nota

O OpsCenter não oferece suporte à publicação de OpsItems em um tópico do Amazon SNS configurado com uma Chave gerenciada pela AWS.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Escolha o ID da chave do KMS escolhida ao criar o tópico.

  5. Na seção Key Policy (Política de chaves), selecione Switch to policy view (Alternar para a visualização da política).

  6. Selecione a opção Editar.

  7. Adicione o seguinte bloco Sid à política existente. Substitua cada espaço reservado para recurso de exemplo por suas próprias informações.

    {
      "Sid": "Allow OpsItems to decrypt the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
       "Resource": "arn:aws:kms:region:account ID:key/key ID"
    }

    No exemplo a seguir, o novo bloco é inserido na linha 14.

    Edição da política de acesso do AWS KMS de um tópico do Amazon SNS.

  8. Escolha Salvar alterações.

Etapa 4: ativar as regras padrão do OpsItems para envio de notificações para novos OpsItems

As regras padrão de OpsItems no Amazon EventBridge não são configuradas com um nome do recurso da Amazon (ARN) para notificações do Amazon SNS. Use o procedimento a seguir para editar uma regra no EventBridge e inserir um bloco de notifications.

Para adicionar um bloco de notificações a uma regra de OpsItem padrão

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha OpsCenter.

  3. Escolha a guia OpsItems e escolha Configure sources (Configurar origens).

  4. Escolha o nome da regra de origem que você deseja configurar com um bloco notifications, conforme mostrado no exemplo a seguir.

    Escolha de uma regra do Amazon EventBridge para adição em um bloco de notificações do Amazon SNS.

    A regra é aberta no Amazon EventBridge.

  5. Na página de detalhes, na guia Targets (Destinos), selecione Edit (Editar).

  6. Na seção Additional settings (Configurações adicionais), escolha Configure input transformer (Configurar transformador de entrada).

  7. Na caixa Modelo, adicione um bloco notifications no formato a seguir.

    "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],

    Aqui está um exemplo.

    "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],

    Insira o bloco de notificações antes do bloco resources, conforme mostrado no exemplo a seguir para a região Oeste dos EUA (Oregon) (us-west-2).

    {
    "title": "EBS snapshot copy failed",
    "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
    "category": "Availability",
    "severity": "2",
    "source": "EC2",
    "notifications": [{
        "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
    }],
    "resources": <resources>,
    "operationalData": {
        "/aws/dedup": {
            "type": "SearchableString",
            "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
        },
        "/aws/automations": {
            "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
        },
        "failure-cause": {
            "value": <failure - cause>
        },
        "source": {
            "value": <source>
        },
        "start-time": {
            "value": <start - time>
        },
        "end-time": {
            "value": <end - time>
        }
    }
}

  8. Selecione a opção Confirmar.

  9. Escolha Próximo.

  10. Escolha Próximo.

  11. Escolha Upgrade rule (Atualizar regra).

Na próxima vez que o sistema criar um OpsItem para a regra padrão, ele publicará uma notificação no tópico do Amazon SNS.