Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS - Amazon Managed Service for Prometheus
Configurazione degli argomenti SNS per le regioni opt-inPrevenzione del confused deputy tra servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS

Devi autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS. La seguente dichiarazione politica fornirà tale autorizzazione. Include una Condition dichiarazione per aiutare a prevenire un problema di sicurezza noto come Confused Deputy Problem. L'Conditionistruzione limita l'accesso all'argomento Amazon SNS per consentire solo le operazioni provenienti da questo account specifico e dall'area di lavoro del servizio gestito da Amazon per Prometheus. Per ulteriori informazioni sul problema del "confused deputy", consulta Prevenzione del confused deputy tra servizi.

Per autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS

  1. Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli il nome dell'argomento da utilizzare per il servizio gestito da Amazon per Prometheus.

  4. Scegli Modifica.

  5. Scegli policy di accesso e aggiungi la seguente istruzione di policy alla policy esistente.

    {
    "Sid": "Allow_Publish_Alarms",
    "Effect": "Allow",
    "Principal": {
        "Service": "aps.amazonaws.com"
    },
    "Action": [
        "sns:Publish",
        "sns:GetTopicAttributes"
    ],
    "Condition": {
        "ArnEquals": {
            "aws:SourceArn": "workspace_ARN"
        },
        "StringEquals": {
            "AWS:SourceAccount": "account_id"
        }
    },
    "Resource": "arn:aws:sns:region:account_id:topic_name"
}

    [Facoltativo] Se il tuo argomento Amazon SNS è abilitato alla crittografia lato servizio (SSE), devi consentire ad Amazon Managed Service for Prometheus di inviare messaggi a questo argomento crittografato aggiungendo le kms:Decrypt autorizzazioni kms:GenerateDataKey* e alla politica chiave della AWS KMS chiave utilizzata per crittografare l'argomento.

    Ad esempio, puoi aggiungere quanto segue alla policy:

    {
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Service": "aps.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey*",
      "kms:Decrypt"
    ],
    "Resource": "*"
  }]
}

    Per ulteriori informazioni, consulta AWS Autorizzazioni KMS per argomenti SNS.

  6. Scegli Save changes (Salva modifiche).

Nota

Per impostazione predefinita, Amazon SNS crea la policy di accesso con la condizione attiva AWS:SourceOwner. Per ulteriori informazioni sui punti di accesso, consulta Policy di accesso SNS .

Nota

IAM segue la prima regola della policy più restrittiva. Nel tuo argomento SNS, se esiste un blocco di policy più restrittivo del blocco di policy di Amazon SNS documentato, l'autorizzazione per tale policy non viene concessa. Per valutare la tua policy e scoprire cosa è stata concessa, consulta Logica di valutazione della policy.

Configurazione degli argomenti SNS per le regioni opt-in

Puoi usarlo aps.amazonaws.com per configurare un argomento Amazon SNS nello stesso Regione AWS spazio di lavoro Amazon Managed Service for Prometheus. Per utilizzare un argomento SNS di una non-opt-in regione (come us-east-1) con una regione opzionale (come af-south-1), è necessario utilizzare il formato principale del servizio regionale. Nel principio del servizio regionale, sostituisci us-east-1 con la regione che desideri utilizzare:. non-opt-in aps.us-east-1.amazonaws.com

La tabella seguente elenca le regioni opt-in e i rispettivi principali servizi regionali:

Regioni che aderiscono all'iniziativa e i relativi responsabili dei servizi regionali
Nome Regione Regione Responsabile del servizio regionale
Africa (Cape Town) af-south-1 af-south-1.aps.amazonaws.com
Asia Pacifico (Hong Kong) ap-east-1 ap-east-1.aps.amazonaws.com
Asia Pacifico (Tailandia) ap-southeast-7 ap-southeast-7.aps.amazonaws.com
Europa (Milano) eu-south-1 eu-south-1.aps.amazonaws.com
Europa (Zurigo) eu-central-2 eu-central-2.aps.amazonaws.com
Medio Oriente (Emirati Arabi Uniti) me-central-1 me-central-1.aps.amazonaws.com
Asia Pacifico (Malesia) ap-southeast-5 ap-southeast-5.aps.amazonaws.com

Per informazioni sull'attivazione di una regione opt-in, consulta Managing in the IAM User Guide nel. Regioni AWS Riferimenti generali di Amazon Web Services

Quando configuri l'argomento di Amazon SNS per queste regioni opzionali, assicurati di utilizzare il servizio regionale principale corretto per consentire la consegna degli avvisi tra regioni.

Prevenzione del confused deputy tra servizi

Il problema confused deputy è un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità maggiormente privilegiata a eseguire l'azione. Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni con cui il servizio gestito da Amazon per Prometheus fornisce a Amazon SNS una risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l'account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il valore di aws:SourceArn deve essere l'ARN dell'area di lavoro del servizio gestito da Amazon per Prometheus.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:servicename::123456789012:*.

L'esempio seguente mostra in Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in Microsoft AD gestito per prevenire il problema "confused deputy".