Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Amazon Managed Service for Prometheus die Erlaubnis erteilen, Warnmeldungen zu Ihrem Amazon SNS SNS-Thema zu senden
<a name="AMP-alertmanager-receiver-AMPpermission"></a>

Sie müssen Amazon Managed Service für Prometheus die Erlaubnis erteilen, Nachrichten an Ihr Amazon-SNS-Thema zu senden. In der folgenden Grundsatzerklärung wird diese Genehmigung erteilt. Sie enthält eine `Condition` Erklärung zur Vermeidung eines Sicherheitsproblems, dem sogenannten *Confused Deputy* Problem. Die `Condition`-Anweisung schränkt den Zugriff auf das Amazon-SNS-Thema so ein, dass nur Vorgänge zugelassen werden, die von diesem bestimmten Konto und Workspace in Amazon Managed Service für Prometheus stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](#cross-service-confused-deputy-prevention).

**Amazon Managed Service für Prometheus die Erlaubnis erteilen, Nachrichten an Ihr Amazon-SNS-Thema zu senden**

1. Öffnen Sie die Amazon SNS SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).

1. Wählen Sie im Navigationsbereich **Themen** aus.

1. Wählen Sie den Namen des Themas, das Sie mit Amazon Managed Service für Prometheus verwenden.

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie **Zugriffsrichtlinie** und fügen Sie der vorhandenen Richtlinie die folgende Richtlinienanweisung hinzu.

   ```
   {
       "Sid": "Allow_Publish_Alarms",
       "Effect": "Allow",
       "Principal": {
           "Service": "aps.amazonaws.com"
       },
       "Action": [
           "sns:Publish",
           "sns:GetTopicAttributes"
       ],
       "Condition": {
           "ArnEquals": {
               "aws:SourceArn": "{{workspace_ARN}}"
           },
           "StringEquals": {
               "AWS:SourceAccount": "{{account_id}}"
           }
       },
       "Resource": "arn:aws:sns:{{region}}:{{account_id}}:{{topic_name}}"
   }
   ```

   [Optional] Wenn für Ihr Amazon SNS SNS-Thema Service Side Encryption (SSE) aktiviert ist, müssen Sie Amazon Managed Service for Prometheus erlauben, Nachrichten an dieses verschlüsselte Thema zu senden, indem Sie die `kms:Decrypt` Berechtigungen `kms:GenerateDataKey*` und zur AWS KMS Schlüsselrichtlinie des Schlüssels hinzufügen, der zur Verschlüsselung des Themas verwendet wird.

   Sie könnten der Richtlinie beispielsweise Folgendes hinzufügen:

   ```
   {
     "Statement": [{
       "Effect": "Allow",
       "Principal": {
         "Service": "aps.amazonaws.com"
       },
       "Action": [
         "kms:GenerateDataKey*",
         "kms:Decrypt"
       ],
       "Resource": "*"
     }]
   }
   ```

   Weitere Informationen finden Sie unter [AWS KMS-Berechtigungen für SNS-Themen](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse).

1. Wählen Sie **Änderungen speichern ** aus.

**Anmerkung**  
 Standardmäßig erstellt Amazon SNS die Zugriffsrichtlinie mit Bedingung für `AWS:SourceOwner`. Weitere Informationen finden Sie unter [SNS-Zugriffrichtlinie](https://docs.aws.amazon.com/sns/latest/dg/sns-access-policy-use-cases.html#source-account-versus-source-owner).

**Anmerkung**  
IAM folgt der Regel [Richtlinie zuerst mit den meisten Einschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). Wenn es in Ihrem SNS-Thema einen Richtlinienblock gibt, der restriktiver ist als der dokumentierte Amazon-SNS-Richtlinienblock, wird die Genehmigung für die Themenrichtlinie nicht erteilt. Um Ihre Richtlinie zu bewerten und herauszufinden, was gewährt wurde, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). 

## SNS-Themenkonfiguration für Opt-in-Regionen
<a name="AMP-alertmanager-sns-regional-config"></a>

Sie können `aps.amazonaws.com` es verwenden, um ein Amazon SNS SNS-Thema in demselben Arbeitsbereich AWS-Region wie in Ihrem Amazon Managed Service for Prometheus Workspace zu konfigurieren. Um ein SNS-Thema aus einer non-opt-in Region (wie us-east-1) mit einer Opt-in-Region (wie af-south-1) zu verwenden, müssen Sie das Regional Service Principal-Format verwenden. Ersetzen Sie im Prinzip „Regionaler Dienst“ durch die Region, die non-opt-in Sie {{us-east-1}} verwenden möchten:. **aps.{{us-east-1}}.amazonaws.com**

In der folgenden Tabelle sind die Opt-in-Regionen und ihre entsprechenden regionalen Dienstprinzipale aufgeführt:


**Opt-in-Regionen und ihre regionalen Diensteanbieter**  

| Name der Region | Region | Leiter des regionalen Dienstes | 
| --- | --- | --- | 
| Afrika (Kapstadt) | af-south-1 | af-south-1.aps.amazonaws.com | 
| Asien-Pazifik (Hongkong) | ap-east-1 | ap-east-1.aps.amazonaws.com | 
| Asien-Pazifik (Thailand) | ap-southeast-7 | ap-southeast-7.aps.amazonaws.com | 
| Europa (Milan) | eu-south-1 | eu-south-1.aps.amazonaws.com | 
| Europa (Zürich) | eu-central-2 | eu-central-2.aps.amazonaws.com | 
| Naher Osten (VAE) | me-central-1 | me-central-1.aps.amazonaws.com | 
| Asien-Pazifik (Malaysia) | ap-southeast-5 | ap-southeast-5.aps.amazonaws.com | 

[https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) Allgemeine Amazon Web Services-Referenz

Stellen Sie bei der Konfiguration Ihres Amazon SNS SNS-Themas für diese Opt-in-Regionen sicher, dass Sie den richtigen regionalen Service Principal verwenden, um die regionsübergreifende Zustellung von Benachrichtigungen zu ermöglichen.

## Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. Ein AWS dienstübergreifender Identitätswechsel kann zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. 

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Richtlinien, um die Berechtigungen, die Amazon Managed Service für Prometheus Amazon SNS erteilt, auf eine bestimmte Ressource zu beschränken. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Der Wert von `aws:SourceArn` muss der ARN des Workspace in Amazon Managed Service für Prometheus sein.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:{{servicename}}::{{123456789012}}:*`. 

Das folgende Beispiel in [Amazon Managed Service for Prometheus die Erlaubnis erteilen, Warnmeldungen zu Ihrem Amazon SNS SNS-Thema zu senden](#AMP-alertmanager-receiver-AMPpermission) zeigt, wie Sie die globalen Bedingungskontext-Schlüssel `aws:SourceArn` und `aws:SourceAccount` in Amazon Managed Service für Prometheus verwenden können, um das Problem des Confused Deputys zu vermeiden.