Amazon SQS を使用した AWS リソースの変更のモニタリング
AWS Config では Amazon Simple Notification Service (SNS) を使用して、ユーザーの API アクティビティの結果として、サポートされている AWS リソースが作成、更新、または変更されるたびに、通知を受け取ることができます。ただし、特定のリソースの設定変更以外の情報は必要ない場合もあります。例えば、第三者によるセキュリティグループの設定変更を知ることは重要であっても、Amazon EC2 インスタンスのタグの変更を逐一知る必要はないでしょう。または、特定のリソースの更新時に特定のアクションを実行するプログラムを記述する場合があります。例えば、セキュリティグループの設定の変更時に、特定のワークフローを開始する場合があります。このような方法で AWS Config のデータをプログラムで使用する場合は、Amazon SNS の通知エンドポイントとして Amazon Simple Queue Service キューを使用します。
注記
通知は、Amazon SNS から E メール、SMS 対応の携帯電話やスマートフォンに対するショートメッセージサービス (SMS) のメッセージ、モバイルデバイスのアプリケーションに対する通知メッセージ、または 1 つ以上の HTTP や HTTPS エンドポイントに対する通知メッセージの形式で着信する場合があります。
リージョンごとに 1 つのトピックがある場合であれ、各リージョンでアカウントごとに 1 つのトピックがある場合であれ、1 つの SQS キューを複数のトピックにサブスクライブできます。キューは目的の SNS トピックにサブスクライブする必要があります (複数のキューを 1 つの SNS トピックにサブスクライブできます)。詳細については、Amazon SQS キューへの Amazon SNS メッセージの送信を参照してください。
Amazon SQS のアクセス許可
AWS Config で Amazon SQS を使用するには、 SQS キューに対して許可されるすべてのアクションを実行するアクセス許可をアカウントに付与するポリシーを設定する必要があります。以下のポリシー例では、アカウント番号 111122223333 とアカウント番号 444455556666 に対して、各設定変更に関するメッセージを arn:aws:sqs:us-east-2:444455556666:queue1 という名前のキューを送信するためのアクセス許可を付与します。
SNS トピックとそのトピックにサブスクライブする SQS キューの間の接続に対してアクセス許可を付与するポリシーを作成する必要もあります。次のポリシー例では、Amazon リソースネーム (ARN) が arn:aws:sns:us-east-2:111122223333:test-topic である SNS トピックに対して、arn:aws:sqs:us-east-2:111122223333:test-topic-queue という名前のキューにアクションを実行することを許可します。
注記
SQS キューと SNS トピックのアカウントは同じリージョンに存在する必要があります。
各ポリシーには、複数のキューではなく、1 つのキューだけを対象とするステートメントを含めることができます。Amazon SQS ポリシーに関するその他の制限については、Amazon SQS ポリシーに関する特別情報を参照してください。
