(Facultatif) Configurer Amazon SNS pour recevoir des notifications sur OpsItems - AWS Systems Manager
Étape 1 : Créer une rubrique Amazon SNS et s'y abonnerÉtape 2 : Mise à jour de la politique d'accès Amazon SNSÉtape 3 : Mise à jour de la politique d'accès AWS KMSÉtape 4 : Activer les règles OpsItems par défaut pour envoyer des notifications pour les nouveaux OpsItems

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

(Facultatif) Configurer Amazon SNS pour recevoir des notifications sur OpsItems

Vous pouvez configurer OpsCenter pour envoyer des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) lorsque le système crée un OpsItem ou met à jour un OpsItem existant.

Effectuez les étapes suivantes pour recevoir des notifications pour OpsItems.

Étape 1 : Créer une rubrique Amazon SNS et s'y abonner

Pour recevoir des notifications, vous devez créer et vous abonner à une rubrique Amazon SNS. Pour plus d'informations, consultez les sections Créer une rubrique et Abonnement d'un point de terminaison à une rubrique Amazon SNS, dans le Guide du développeur d'Amazon Simple Notification Service.

Note

Si vous utilisez OpsCenter plusieurs comptes Régions AWS ou, vous devez créer une rubrique Amazon SNS et vous y abonner dans chaque région ou compte pour lequel vous souhaitez recevoir des OpsItem notifications.

Étape 2 : Mise à jour de la politique d'accès Amazon SNS

Vous devez associer une rubrique Amazon SNS aux OpsItems. Utilisez la procédure suivante pour configurer une stratégie d'accès Amazon SNS afin que Systems Manager puisse publier les notifications d'OpsItems dans la rubrique Amazon SNS créée à l'étape 1.

  1. Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la sur v3/home. https://console.aws.amazon.com/sns/

  2. Dans le volet de navigation, choisissez Rubriques.

  3. Sélectionnez la rubrique que vous avez créée à l'étape 1, puis sélectionnez Modifier.

  4. Développez la politique d'accès.

  5. Ajoutez le bloc Sid suivant à la politique existante. Remplacez chaque example resource placeholder par vos propres informations.

    {
      "Sid": "Allow OpsCenter to publish to this topic",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
      "Condition": {
      "StringEquals": {
        "AWS:SourceAccount": "account ID" //  Account ID of the OpsItem owner
      }
   }
}
    Note

    La clé de condition globale aws:SourceAccount protège contre le scénario d'adjoint confus. Pour utiliser cette clé de condition, définissez la valeur sur l'ID de compte du propriétaire d'OpsItem. Pour plus d'informations, veuillez consulter la rubrique Adjoint confus dans le Guide de l'utilisateur IAM.

  6. Sélectionnez Enregistrer les modifications.

Le système envoie désormais les notifications à la rubrique Amazon SNS quand des OpsItems sont créés ou mis à jour.

Important

Si vous configurez la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS) à l'étape 2, passez à l'étape 3. Sinon, vous pouvez passer à l'étape 3.

Étape 3 : Mise à jour de la politique d'accès AWS KMS

Si vous avez activé le chiffrement AWS KMS côté serveur pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès de la rubrique que vous avez choisie lors de AWS KMS key la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier les notifications d'OpsItem dans la rubrique Amazon SNS créée à l'étape 1.

Note

OpsCenter ne prend pas en charge la publication des OpsItems sur une rubrique Amazon SNS configurée avec une Clé gérée par AWS.

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, choisissez Clés gérées par le client.

  4. Sélectionnez l'ID de la clé KMS que vous avez choisie lors de la création de la rubrique.

  5. Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).

  6. Sélectionnez Edit (Modifier).

  7. Ajoutez le bloc Sid suivant à la politique existante. Remplacez chaque example resource placeholder par vos propres informations.

    {
      "Sid": "Allow OpsItems to decrypt the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
       "Resource": "arn:aws:kms:region:account ID:key/key ID"
    }

    Dans l'exemple suivant, le nouveau bloc est entré à la ligne 14.

    Modification de la politique d' AWS KMS accès d'une rubrique Amazon SNS.

  8. Sélectionnez Enregistrer les modifications.

Étape 4 : Activer les règles OpsItems par défaut pour envoyer des notifications pour les nouveaux OpsItems

OpsItemsLes règles par défaut d'Amazon EventBridge ne sont pas configurées avec un Amazon Resource Name (ARN) pour les notifications Amazon SNS. Suivez la procédure suivante pour modifier une règle dans EventBridge et entrer un bloc notifications.

Pour ajouter un bloc de notifications à une règle OpsItem par défaut

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez OpsCenter.

  3. Sélectionnez l'onglet OpsItems, puis sélectionnez Configurer les sources.

  4. Sélectionnez le nom de la règle source que vous souhaitez configurer avec un bloc notifications, comme illustré dans l'exemple suivant.

    Choix d'une EventBridge règle Amazon pour ajouter un bloc de notifications Amazon SNS.

    La règle s'ouvre sur Amazon EventBridge.

  5. Sur la page des détails de la règle, sur l'onglet Targets(Cibles), choisissez Edit (Modifier).

  6. Dans la section Additional settings (Réglages supplémentaires), choisissez Configure input transformer (Configurer le transformateur d'entrée).

  7. Dans la case Modèle, ajoutez un notifications au format suivant.

    "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],

    Voici un exemple :

    "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],

    Saisissez le bloc de notifications avant le bloc resources, comme indiqué dans l’exemple suivant pour la région USA Ouest (Oregon) (us-west-2).

    {
    "title": "EBS snapshot copy failed",
    "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
    "category": "Availability",
    "severity": "2",
    "source": "EC2",
    "notifications": [{
        "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
    }],
    "resources": <resources>,
    "operationalData": {
        "/aws/dedup": {
            "type": "SearchableString",
            "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
        },
        "/aws/automations": {
            "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
        },
        "failure-cause": {
            "value": <failure - cause>
        },
        "source": {
            "value": <source>
        },
        "start-time": {
            "value": <start - time>
        },
        "end-time": {
            "value": <end - time>
        }
    }
}

  8. Choisissez Confirmer.

  9. Choisissez Suivant.

  10. Choisissez Suivant.

  11. Choisissez Mettre à jour la règle.

La prochaine fois que le système crée un OpsItem pour la règle par défaut, il publie une notification dans la rubrique Amazon SNS.