(Facoltativo) Configurare Amazon SNS per ricevere notifiche su OpsItems - AWS Systems Manager
Passaggio 1: Creazione e abbonamento a un argomento Amazon SNSPassaggio 2: Aggiornamento della policy di accesso Amazon SNSPassaggio 3: Aggiornamento della policy di accesso AWS KMSPassaggio 4: Attivazione delle regole OpsItems predefinite per l'invio di notifiche per nuovi OpsItems

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

(Facoltativo) Configurare Amazon SNS per ricevere notifiche su OpsItems

È possibile configurare OpsCenter per l'invio di notifiche a un argomento Servizio di notifica semplice Amazon (Amazon SNS) quando il sistema crea un nuovo OpsItem o aggiorna un OpsItem esistente.

Completa i passaggi seguenti per ricevere notifiche sugli OpsItems.

Passaggio 1: Creazione e abbonamento a un argomento Amazon SNS

Per ricevere notifiche, è necessario creare ed effettuare la sottoscrizione a un argomento Amazon SNS. Per ulteriori informazioni, consulta Creare un argomento Amazon SNS e Iscrizione a un argomento Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Nota

Se utilizzi OpsCenter più account Regioni AWS o, devi creare e sottoscrivere un argomento di Amazon SNS in ogni regione o account in cui desideri ricevere OpsItem notifiche.

Passaggio 2: Aggiornamento della policy di accesso Amazon SNS

È necessario associare un argomento di Amazon SNS a OpsItems. Utilizza la procedura seguente per configurare la policy di accesso Amazon SNS in modo che Systems Manager possa pubblicare notifiche OpsItems nell'argomento Amazon SNS creato nella Fase 1.

  1. Accedi a Console di gestione AWS e apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/

  2. Nel pannello di navigazione, scegli Topics (Argomenti).

  3. Scegli l'argomento creato nel Passaggio 1, quindi scegli Modifica.

  4. Espandi Access policy (Policy di accesso).

  5. Aggiungi il seguente blocco Sid alla policy esistente. Sostituisci ogni example resource placeholder con le tue informazioni.

    {
      "Sid": "Allow OpsCenter to publish to this topic",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "SNS:Publish",
      "Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
      "Condition": {
      "StringEquals": {
        "AWS:SourceAccount": "account ID" //  Account ID of the OpsItem owner
      }
   }
}
    Nota

    La chiave di condizione globale aws:SourceAccount protegge dallo scenario “confused deputy”. Per utilizzare questa chiave di condizione, imposta il valore sull'ID account del proprietario di OpsItem. Per ulteriori informazioni, consulta Confused Deputy nella Guida per l'utente IAM.

  6. Scegli Salva modifiche.

Il sistema invia ora notifiche all'argomento Amazon SNS quando OpsItems vengono creati o aggiornati.

Importante

Se configuri l'argomento Amazon SNS con una chiave di crittografia lato server AWS Key Management Service (AWS KMS) nella Fase 2, completa la Fase 3. In caso contrario, puoi andare al passaggio 3.

Passaggio 3: Aggiornamento della policy di accesso AWS KMS

Se hai attivato la crittografia AWS KMS lato server per il tuo argomento Amazon SNS, devi anche aggiornare la politica di accesso che hai scelto quando hai configurato AWS KMS key l'argomento. Utilizza la procedura seguente per aggiornare la policy di accesso in modo che Systems Manager possa pubblicare notifiche OpsItem nell'argomento Amazon SNS creato nel Passaggio 1.

Nota

OpsCenter non supporta la pubblicazione di OpsItems in un argomento Amazon SNS configurato con una Chiave gestita da AWS.

  1. Apri la AWS KMS console in /kms. https://console.aws.amazon.com

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegli l'ID della chiave KMS selezionata al momento della creazione dell'argomento.

  5. Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).

  6. Scegli Modifica.

  7. Aggiungi il seguente blocco Sid alla policy esistente. Sostituisci ogni example resource placeholder con le tue informazioni.

    {
      "Sid": "Allow OpsItems to decrypt the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
       "Resource": "arn:aws:kms:region:account ID:key/key ID"
    }

    Nell'esempio seguente, il nuovo blocco viene immesso alla riga 14.

    Modifica della politica di AWS KMS accesso di un argomento di Amazon SNS.

  8. Scegli Save changes (Salva modifiche).

Passaggio 4: Attivazione delle regole OpsItems predefinite per l'invio di notifiche per nuovi OpsItems

OpsItemsLe regole predefinite in Amazon EventBridge non sono configurate con un Amazon Resource Name (ARN) per le notifiche Amazon SNS. Utilizza la procedura seguente per modificare una regola in EventBridge e immettere un blocco notifications.

Per aggiungere un blocco di notifiche a una regola OpsItem predefinita

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Nel pannello di navigazione, scegliere OpsCenter.

  3. Scegliere la scheda OpsItems, quindi selezionare Configure sources (Configura fonte).

  4. Scegli il nome della regola di origine che desideri configurare con un blocco notifications, come illustrato nell'esempio seguente.

    Scelta di una EventBridge regola Amazon per aggiungere un blocco di notifiche Amazon SNS.

    La regola si apre in Amazon EventBridge.

  5. Nella pagina dei dettagli della regola, nella scheda Targets (Destinazioni), scegli Edit (Modifica).

  6. Nella sezione Additional settings (Impostazioni aggiuntive), scegli Configure input transformer (Configura il trasformatore di input).

  7. Nella casella Modello, aggiungi un blocco notifications nel seguente formato.

    "notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],

    Ecco un esempio:

    "notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],

    Inserisci il blocco delle notifiche prima del blocco resources, come mostrato nel seguente esempio per la Regione Stati Uniti occidentali (Oregon) (us-west-2).

    {
    "title": "EBS snapshot copy failed",
    "description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
    "category": "Availability",
    "severity": "2",
    "source": "EC2",
    "notifications": [{
        "arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
    }],
    "resources": <resources>,
    "operationalData": {
        "/aws/dedup": {
            "type": "SearchableString",
            "value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
        },
        "/aws/automations": {
            "value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
        },
        "failure-cause": {
            "value": <failure - cause>
        },
        "source": {
            "value": <source>
        },
        "start-time": {
            "value": <start - time>
        },
        "end-time": {
            "value": <end - time>
        }
    }
}

  8. Scegli Conferma.

  9. Scegli Next (Successivo).

  10. Scegli Next (Successivo).

  11. Scegli Aggiorna regola.

La prossima volta che il sistema crea un OpsItem per la regola predefinita, pubblica una notifica nell'argomento Amazon SNS.