Configuration des rubriques Amazon SNS pour les notifications Change Manager

Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner Tâche 2 : Mise à jour de la politique d'accès Amazon SNS Tâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès

Change Managerchangement de disponibilité

AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Vous pouvez configurer Change Manager un outil pour envoyer des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) pour les événements liés aux demandes de modification et aux modèles de modification. AWS Systems Manager Effectuez les tâches suivantes pour recevoir des notifications pour les événements Change Manager auxquels vous ajoutez une rubrique.

Rubriques

Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
Tâche 2 : Mise à jour de la politique d'accès Amazon SNS
Tâche 3 : (Facultatif) Mettre à jour la politique AWS Key Management Service d'accès

Pour commencer, vous devez créer une rubrique Amazon SNS à laquelle vous vous abonnez. Pour plus d'informations, consultez Création d'une rubrique Amazon SNS et Abonnement à une rubrique Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Note

Pour recevoir des notifications, vous devez spécifier le nom de ressource Amazon (ARN) d'une rubrique Amazon SNS figurant dans le même compte Région AWS et en Compte AWS tant qu'administrateur délégué.

Utilisez la procédure suivante pour mettre à jour la politique d'accès Amazon SNS afin que Systems Manager puisse publier les notifications Change Manager dans la rubrique Amazon SNS créée dans la tâche 1. Si cette tâche n'est pas effectuée ,Change Manager n'a pas l'autorisation d'envoyer des notifications à propos d'événements auxquels vous ajoutez la rubrique.

Connectez-vous à la console Amazon SNS AWS Management Console et ouvrez-la sur v3/home. https://console.aws.amazon.com/sns/
Dans le panneau de navigation, sélectionnez Topics (Rubriques).
Sélectionnez la rubrique que vous avez créée dans la tâche 1, puis sélectionnez Edit (Modifier).
Développez la politique d'accès.

Ajoutez et mettez à jour le Sid bloc suivant à la politique existante et remplacez-le user input placeholder par vos propres informations.


{
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

Entrez ce bloc après le Sid bloc existant, et remplacez-le par region topic-name les valeurs appropriées pour le sujet que vous avez créé. account-id

Sélectionnez Enregistrer les modifications.

Le système enverra maintenant des notifications à la rubrique Amazon SNS lorsque le type d'événement que vous ajoutez à la rubrique se produira.

Important

Si vous avez configuré la rubrique Amazon SNS avec une clé de chiffrement côté serveur AWS Key Management Service (AWS KMS), vous devez effectuer la tâche 3.

Si vous avez activé AWS Key Management Service (AWS KMS) le chiffrement côté serveur pour votre rubrique Amazon SNS, vous devez également mettre à jour la politique d'accès que vous avez choisie lors de AWS KMS key la configuration de la rubrique. Utilisez la procédure suivante pour mettre à jour la politique d'accès afin que Systems Manager puisse publier les notifications d'approbation Change Manager dans la rubrique Amazon SNS créée dans la tâche 1.

Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.
Dans le volet de navigation, sélectionnez Clés gérées par le client.
Sélectionnez l'ID de la clé gérée par le client que vous avez choisie lors de la création de la rubrique.
Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).
Sélectionnez Edit (Modifier).

Entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique existante. Remplacez chaque user input placeholder par vos propres informations.


{
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

Maintenant, entrez le bloc Sid suivant après l'un des blocs Sid existants dans la politique de ressources pour aider à prévenir le problème du député confus entre services.

Ce bloc utilise les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount pour limiter les autorisations que Systems Manager accorde à un autre service pour la ressource.

Remplacez chaque user input placeholder par vos propres informations.

Sélectionnez Enregistrer les modifications.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration d'options et de bonnes pratiques Change Manager

Configuration des rôles et des autorisations pour Change Manager