Concesión de permiso a Amazon Managed Service para Prometheus para enviar mensajes a un tema de Amazon SNS - Amazon Managed Service for Prometheus
Configuración del tema de SNS para las regiones en las que se ha optadoPrevención de la sustitución confusa entre servicios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permiso a Amazon Managed Service para Prometheus para enviar mensajes a un tema de Amazon SNS

Debe conceder permiso a Amazon Managed Service para Prometheus para enviar mensajes a un tema de Amazon SNS. La siguiente instrucción de política concederá ese permiso. Incluye una instrucción Condition para ayudar a prevenir un problema de seguridad conocido como el problema del suplente confuso. La instrucción Condition restringe el acceso al tema de Amazon SNS para permitir únicamente las operaciones procedentes de esta cuenta específica y del espacio de trabajo de Amazon Managed Service para Prometheus. Para obtener más información sobre el problema del suplente confuso, consulte Prevención de la sustitución confusa entre servicios.

Para conceder permiso a Amazon Managed Service para Prometheus para enviar mensajes a un tema de Amazon SNS:

  1. Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.

  2. En el panel de navegación, elija Temas.

  3. Elija el nombre del tema que va a utilizar con Amazon Managed Service para Prometheus.

  4. Seleccione Editar.

  5. Elija Política de acceso y agregue la siguiente instrucción de política a la política existente.

    {
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

    [Opcional] Si su tema de Amazon SNS está habilitado para el cifrado del lado del servicio (SSE), debe permitir que Amazon Managed Service for Prometheus envíe mensajes a este tema cifrado añadiendo los kms:Decrypt permisos kms:GenerateDataKey* y los permisos a la política de claves de la AWS KMS clave utilizada para cifrar el tema.

    Por ejemplo, podría agregar lo siguiente a la política:

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "aps.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}

    Para obtener más información, consulte Permisos de AWS KMS para el tema de SNS.

  6. Seleccione Save changes (Guardar cambios).

nota

De forma predeterminada, Amazon SNS crea la política de acceso con la condición en AWS:SourceOwner. Para obtener más información, consulte Política de acceso SNS.

nota

IAM sigue la regla de la política más restrictiva primero. Si en el tema de SNS hay un bloque de políticas que es más restrictivo que el bloque de políticas de Amazon SNS documentado, no se concede el permiso para la política del tema. Para evaluar la política y averiguar qué se ha concedido, consulte Lógica de evaluación de políticas.

Configuración del tema de SNS para las regiones en las que se ha optado

Puede usarlo aps.amazonaws.com para configurar un tema de Amazon SNS al mismo tiempo Región de AWS que su espacio de trabajo de Amazon Managed Service for Prometheus. Para usar un tema de SNS de una non-opt-in región (como us-east-1) con una región opcional (como af-south-1), debes usar el formato principal del servicio regional. En el principio del servicio regional, sustitúyalo por la non-opt-in región que us-east-1 quieres usar:. aps.us-east-1.amazonaws.com

En la siguiente tabla se enumeran las regiones que se suscriben y sus correspondientes directores de servicio regionales:

Las regiones que optan por participar y sus directores de servicio regionales
Nombre de la región Región Director de servicio regional
África (Ciudad del Cabo) af-south-1 af-south-1.aps.amazonaws.com
Asia-Pacífico (Hong Kong) ap-east-1 ap-east-1.aps.amazonaws.com
Asia-Pacífico (Tailandia) ap-southeast-7 ap-southeast-7.aps.amazonaws.com
Europa (Milán) eu-south-1 eu-south-1.aps.amazonaws.com
Europa (Zúrich) eu-central-2 eu-central-2.aps.amazonaws.com
Medio Oriente (EAU) me-central-1 me-central-1.aps.amazonaws.com
Asia-Pacífico (Malasia) ap-southeast-5 ap-southeast-5.aps.amazonaws.com

Para obtener información sobre cómo habilitar una región de suscripción voluntaria, consulte la Guía del usuario de Administrar en IAM en la. Regiones de AWS Referencia general de Amazon Web Services

Al configurar su tema de Amazon SNS para estas regiones con suscripción voluntaria, asegúrese de utilizar el director de servicio regional correcto para permitir la entrega de alertas entre regiones.

Prevención de la sustitución confusa entre servicios

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puedes producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.

Se recomienda utilizar las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos para limitar los permisos que Amazon Managed Service para Prometheus concede a Amazon SNS para el recurso. Si se utilizan ambas claves contextuales de condición global, el valor aws:SourceAccount y la cuenta del valor aws:SourceArn deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.

El valor de aws:SourceArn debe ser el ARN del espacio de trabajo de Amazon Managed Service para Prometheus.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utiliza la clave de condición de contexto global aws:SourceArn con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:servicename::123456789012:*.

La política mostrada en Concesión de permiso a Amazon Managed Service para Prometheus para enviar mensajes a un tema de Amazon SNS muestra cómo se pueden utilizar las claves contextuales de condición global aws:SourceArn y aws:SourceAccount en Amazon Managed Service para Prometheus para evitar el problema del suplente confuso.