本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立異常通知的 Amazon SNS主題
若要建立將通知傳送至 Amazon Simple Notification Service (Amazon SNS) 主題的異常偵測監視器,您必須已有 Amazon 主題或建立新的SNS主題。除了電子郵件SNS之外,您還可以使用 Amazon SNS主題來傳送通知。 AWS 成本異常偵測必須具有將通知傳送至主題的許可。
建立 Amazon SNS通知主題並授予許可
在 https://console.aws.amazon.com/sns/v3/home
登入 AWS Management Console 並開啟 Amazon SNS主控台。 -
在導覽窗格中,選擇主題。
-
請選擇建立主題。
-
在 Name (名稱) 中輸入您通知主題的名稱。
-
(選用) 在 Display name (顯示名稱) 中輸入當您接收通知時想顯示的名稱。
-
在存取政策中,選擇進階。
-
在政策文字欄位中,「陳述式」之後:【,輸入下列其中一個陳述式:
若要允許 AWS 成本異常偵測服務發佈至 Amazon SNS主題,請使用下列陳述式。
{ "Sid":"E.g., AWSAnomalyDetectionSNSPublishingPermissions", "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": "SNS:Publish", "Resource":"your topic ARN"}若要允許 AWS 成本異常偵測服務僅代表特定帳戶發佈至 Amazon SNS主題,請使用下列陳述式。
{ "Sid":"E.g., AWSAnomalyDetectionSNSPublishingPermissions", "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": "SNS:Publish", "Resource":"your topic ARN", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-ID"] } } }注意
在本主題政策中,您可以輸入訂閱的帳戶 ID 作為
aws:SourceAccount條件的值。此條件僅在為擁有訂閱的帳戶執行操作時, AWS 成本異常偵測才會與 Amazon SNS主題互動。您只能在代表特定訂閱執行操作時,限制 AWS 成本異常偵測與主題互動。若要這麼做,請使用主題政策中的
aws:SourceArn條件。如需這些條件的詳細資訊,請參閱 使用者指南
aws:SourceArn中的aws:SourceAccount和 。 IAM -
在您選取的主題政策陳述式中,取代下列值:
-
取代 (例如,
AWSAnomalyDetectionSNSPublishingPermissions) 搭配字串。政策中,Sid必須是唯一的。 -
Replace (取代)
your topic ARNAmazon SNS主題 Amazon Resource Name (ARN)。 -
如果您將 陳述式與
aws:SourceAccount條件搭配使用,請取代account-ID擁有訂閱的帳戶 ID。如果 Amazon SNS主題具有來自不同帳戶的多個訂閱,請將多個帳戶新增至IDsaws:SourceAccount條件。
-
-
請選擇建立主題。
您的主題現在會出現在 Topics (主題) 頁面的主題清單中。
檢查或重新傳送通知確認電子郵件訊息
當您使用通知建立異常偵測監視器時,您也可以建立 Amazon SNS通知。若要傳送通知,您必須接受 Amazon SNS通知主題的訂閱。
若要確認已接受您的通知訂閱或重新傳送訂閱確認電子郵件,請使用 Amazon SNS主控台。
檢查您的通知狀態或重新傳送通知確認電子郵件訊息
在 https://console.aws.amazon.com/sns/v3/home
登入 AWS Management Console 並開啟 Amazon SNS主控台。 -
在導覽窗格中,選擇訂閱。
-
檢查您通知的狀態。在狀態 下,如果不接受並確認訂閱,則
PendingConfirmation會顯示 。 -
(選用) 如果要重新傳送確認請求,請選取具有待定確認的訂閱,然後選擇 Request confirmations (請求確認)。Amazon 會將確認請求SNS傳送至訂閱通知的端點。
當端點的每個擁有者收到電子郵件,他們必須選擇 Confirm subscription (確認訂閱) 連結以啟用通知。
使用 SSE和 保護您的 Amazon SNS 異常偵測警示資料 AWS KMS
您可以使用伺服器端加密 (SSE) 來傳輸加密主題中的敏感資料。SSE 使用 () 中 AWS Key Management Service 管理的金鑰來保護 Amazon SNS 訊息AWS KMS。
若要SSE使用 AWS Management Console 或 管理 AWS SDK,請參閱 Amazon Simple Notification Service 入門指南 中的為 Amazon SNS主題啟用伺服器端加密 (SSE)。
若要使用 建立加密主題 AWS CloudFormation,請參閱 AWS CloudFormation 使用者指南 。
SSE 會在 Amazon SNS收到訊息時立即加密訊息。訊息會加密儲存,並SNS只在傳送時使用 Amazon 解密。
設定 AWS KMS 許可
您必須先設定 AWS KMS 金鑰政策,才能使用伺服器端加密 (SSE)。除了加密和解密訊息之外,您也可以使用此組態來加密主題。如需 AWS KMS 許可的相關資訊,請參閱 AWS Key Management Service 開發人員指南 中的AWS KMS API許可:動作和資源參考。
您也可以使用IAM政策來管理 AWS KMS 金鑰許可。如需詳細資訊,請參閱搭配 使用IAM政策 AWS KMS。
注意
您可以設定全域許可,以傳送和接收來自 Amazon 的訊息SNS。不過, AWS KMS 需要您為特定 中 ( 金鑰ARN) 的完整 Amazon Resource Name AWS KMS keys (KMS) 命名 AWS 區域。您可以在IAM政策的資源區段中找到此項目。
確保金鑰的KMS金鑰政策允許必要的許可。若要這麼做,請將在 Amazon 中產生和使用加密訊息的主體命名SNS為KMS金鑰政策中的使用者。
啟用 AWS 成本異常偵測和加密 Amazon SNS主題之間的相容性
-
建立KMS金鑰 。
-
新增下列其中一個政策作為KMS金鑰政策:
若要授予KMS金鑰 AWS 的成本異常偵測服務存取權,請使用下列陳述式。
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource":"*"}] }若要在代表特定帳戶執行操作時,才授予KMS金鑰 AWS 的成本異常偵測服務存取權,請使用下列陳述式。
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource":"*", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-ID"] } } }] }注意
在此KMS金鑰政策中,您可以輸入訂閱的帳戶 ID 作為
aws:SourceAccount條件的值。此條件僅在對擁有訂閱的帳戶執行操作時, AWS 成本異常偵測才會與KMS金鑰互動。若要讓 AWS 成本異常偵測僅在代表特定訂閱執行操作時與KMS金鑰互動,請使用KMS金鑰政策中的
aws:SourceArn條件。如需這些條件的詳細資訊,請參閱 使用者指南
aws:SourceArn中的aws:SourceAccount和 。 IAM -
如果您將 KMS 金鑰政策與
aws:SourceAccount條件搭配使用,請取代account-ID擁有訂閱的帳戶 ID。如果 Amazon SNS主題具有來自不同帳戶的多個訂閱,請將多個帳戶新增至IDsaws:SourceAccount條件。 -
注意
請確定您使用的KMS金鑰與授予 AWS 成本異常偵測許可的相同,以發佈至加密的 Amazon SNS主題。
-
選擇 Save Changes (儲存變更)。
