本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立異常通知的 Amazon SNS 主題
若要建立將通知傳送至 Amazon Simple Notification Service (Amazon SNS) 主題的異常偵測監視器,您必須已有 Amazon SNS 主題或建立新的主題。除了電子郵件之外,您還可以使用 Amazon SNS 主題透過 SNS 傳送通知。 AWS 成本異常偵測必須具有許可,才能傳送通知至您的主題。
建立 Amazon SNS 通知主題並授予許可
登入 AWS Management Console 並在 SNS v3/home 開啟 Amazon https://console.aws.amazon.com/sns/
主控台。 -
在導覽窗格中,選擇主題。
-
請選擇建立主題。
-
在 Name (名稱) 中輸入您通知主題的名稱。
-
(選用) 在 Display name (顯示名稱) 中輸入當您接收通知時想顯示的名稱。
-
在存取政策中,選擇進階。
-
在政策文字欄位中,「陳述式」之後:【,輸入下列其中一個陳述式:
若要允許 AWS 成本異常偵測服務發佈至 Amazon SNS 主題,請使用下列陳述式。
{ "Sid":"E.g., AWSAnomalyDetectionSNSPublishingPermissions", "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": "SNS:Publish", "Resource":"your topic ARN"}若要允許 AWS 成本異常偵測服務僅代表特定帳戶發佈至 Amazon SNS 主題,請使用下列陳述式。
{ "Sid":"E.g., AWSAnomalyDetectionSNSPublishingPermissions", "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": "SNS:Publish", "Resource":"your topic ARN", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-ID"] } } }注意
在本主題政策中,您可以輸入訂閱的帳戶 ID 作為
aws:SourceAccount條件的值。此條件僅在為擁有訂閱的帳戶執行操作時, AWS 成本異常偵測才會與 Amazon SNS 主題互動。您只能在代表特定訂閱執行操作時,限制 AWS 成本異常偵測與主題互動。若要這麼做,請使用主題政策中的
aws:SourceArn條件。如需這些條件的詳細資訊,請參閱 IAM 使用者指南
aws:SourceArn中的aws:SourceAccount和 。 -
在您選取的主題政策陳述式中,取代下列值:
-
取代 (例如,
AWSAnomalyDetectionSNSPublishingPermissions) 搭配字串。政策中,Sid必須是唯一的。 -
Replace (取代)
your topic ARNAmazon SNS 主題 Amazon Resource Name (ARN)。 -
如果您將 陳述式與
aws:SourceAccount條件搭配使用,請取代account-ID具有擁有訂閱的帳戶 ID。如果 Amazon SNS 主題具有來自不同帳戶的多個訂閱,請將多個帳戶 IDs 新增至aws:SourceAccount條件。
-
-
請選擇建立主題。
您的主題現在會出現在 Topics (主題) 頁面的主題清單中。
檢查或重新傳送通知確認電子郵件訊息
當您使用通知建立異常偵測監視器時,您也可以建立 Amazon SNS 通知。若要傳送通知,您必須接受 Amazon SNS 通知主題的訂閱。
若要確認接受您的通知訂閱或重新傳送訂閱確認電子郵件,請使用 Amazon SNS 主控台。
檢查您的通知狀態或重新傳送通知確認電子郵件訊息
登入 AWS Management Console 並在 SNS v3/home 開啟 Amazon https://console.aws.amazon.com/sns/
主控台。 -
在導覽窗格中,選擇訂閱。
-
檢查您通知的狀態。在狀態 下,如果不接受並確認訂閱,則
PendingConfirmation會顯示 。 -
(選用) 如果要重新傳送確認請求,請選取具有待定確認的訂閱,然後選擇 Request confirmations (請求確認)。Amazon SNS 會將確認請求傳送至訂閱通知的端點。
當端點的每個擁有者收到電子郵件,他們必須選擇 Confirm subscription (確認訂閱) 連結以啟用通知。
使用 SNS 和 保護您的 Amazon SSE 異常偵測警示資料 AWS KMS
您可以使用伺服器端加密 (SSE) 來傳輸加密主題中的敏感資料。SSE 使用 () 中 AWS Key Management Service 管理的金鑰來保護 Amazon SNS 訊息AWS KMS。
若要使用 AWS Management Console 或 AWS SDK 管理 SSE,請參閱 Amazon Simple Notification Service 入門指南中的啟用 Amazon SNS 主題的伺服器端加密 (SSE)。
若要使用 建立加密主題 AWS CloudFormation,請參閱 AWS CloudFormation 使用者指南。
SSE 會在 Amazon SNS 收到訊息時立即加密訊息。訊息會加密儲存,並只在傳送時使用 Amazon SNS 進行解密。
設定 AWS KMS 許可
您必須先設定 AWS KMS 金鑰政策,才能使用伺服器端加密 (SSE)。除了加密和解密訊息之外,您也可以使用此組態來加密主題。如需 AWS KMS 許可的相關資訊,請參閱 AWS Key Management Service 開發人員指南中的 AWS KMS API 許可:動作和資源參考。
您也可以使用 IAM 政策來管理 AWS KMS 金鑰許可。如需詳細資訊,請參閱搭配 使用 IAM 政策 AWS KMS。
注意
您可以設定全域許可,以傳送和接收來自 Amazon SNS 的訊息。不過, AWS KMS 要求您為特定 (ARN 金鑰) 中的完整 Amazon Resource Name AWS KMS keys (KMS) 命名 AWS 區域。您可以在 IAM 政策的資源區段中找到此項目。
確保 KMS 金鑰的金鑰政策允許必要的許可。若要這麼做,請將在 Amazon SNS 中產生和使用加密訊息的主體命名為 KMS 金鑰政策中的使用者。
啟用 AWS 成本異常偵測和加密 Amazon SNS 主題之間的相容性
-
將下列其中一個政策新增為 KMS 金鑰政策:
若要授予 KMS 金鑰 AWS 的成本異常偵測服務存取權,請使用下列陳述式。
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource":"*"}] }若要僅在代表特定帳戶執行操作時,才授予 KMS 金鑰 AWS 的成本異常偵測服務存取權,請使用下列陳述式。
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "costalerts.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource":"*", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-ID"] } } }] }注意
在此 KMS 金鑰政策中,您可以輸入訂閱的帳戶 ID 作為
aws:SourceAccount條件的值。此條件僅在為擁有訂閱的帳戶執行操作時, AWS 成本異常偵測才會與 KMS 金鑰互動。若要讓 AWS 成本異常偵測僅在代表特定訂閱執行操作時與 KMS 金鑰互動,請使用 KMS 金鑰政策中的
aws:SourceArn條件。如需這些條件的詳細資訊,請參閱 IAM 使用者指南
aws:SourceArn中的aws:SourceAccount和 。 -
如果您將 KMS 金鑰政策與
aws:SourceAccount條件搭配使用,請取代account-ID具有擁有訂閱的帳戶 ID。如果 Amazon SNS 主題具有來自不同帳戶的多個訂閱,請將多個帳戶 IDs 新增至aws:SourceAccount條件。 -
注意
請確定您使用的 KMS 金鑰相同,授予 AWS Cost Anomaly Detection 發佈至加密 Amazon SNS 主題的許可。
-
選擇 Save Changes (儲存變更)。
