Change Manager 通知用の Amazon SNS トピックの設定

タスク 1: Amazon SNS トピックを作成してサブスクライブするタスク 2: Amazon SNS アクセスポリシーを更新するタスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する

Change Manager の可用性の変更

AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

AWS Systems Manager のツールである Change Manager を設定して、変更リクエストおよび変更テンプレートに関連するイベントについて、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信できます。トピックを追加するChange Managerイベントの通知を受け取るには、以下のタスクを完了します。

トピック

タスク 1: Amazon SNS トピックを作成してサブスクライブする
タスク 2: Amazon SNS アクセスポリシーを更新する
タスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する

まず、Amazon SNS トピックを作成し、サブスクライブする必要があります。詳細については、Amazon Simple Notification Service デベロッパーガイドの「Amazon SNS トピックの作成」および「Amazon SNS トピックへのサブスクライブ」を参照してください。

注記

通知を受け取るには、委任管理アカウントと同じ AWS リージョンと AWS アカウントにある Amazon SNS トピックの Amazon リソースネーム (ARN) を指定する必要があります。

以下の手順を使用して Amazon SNS アクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager 通知を発行できるようにします。このタスクを完了しなければ、トピックを追加するイベントの通知を送信するアクセス許可が Change Manager に付与されません。

AWS マネジメントコンソールにサインインして Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。
ナビゲーションペインで、[トピック] を選択します。
タスク 1 で作成したトピックを選択してから、[Edit] (編集) をクリックします。
[アクセスポリシー] を展開します。

以下の Sid ブロックを既存のポリシーに追加して更新し、それぞれのユーザー入力プレースホルダーをあなた自身の情報で置き換えます


{
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

既存の Sid ブロックの後にこのブロックを入力し、作成したトピックの該当する値で region、account-id、および topic-name を置き換えます。

[Save changes] (変更の保存) をクリックします。

これで、トピックに追加するイベントタイプが発生すると、システムが Amazon SNS トピックに通知を送信するようになりました。

重要

AWS Key Management Service (AWS KMS) のサーバー側の暗号化キーを使用して Amazon SNS トピックを設定した場合は、タスク 3 を完了する必要があります。

Amazon SNS トピックに対して AWS Key Management Service (AWS KMS) サーバー側の暗号化を有効にした場合、トピックを設定したときに選択した AWS KMS key のアクセスポリシーも更新する必要があります。以下の手順を実行してアクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager の承認通知を発行できるようにします。

AWS KMS コンソール (https://console.aws.amazon.com/kms) を開きます。
ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。
トピックの作成時に選択したカスタマーマネージドキーの ID を選択します。
[Key Policy] (キーポリシー) セクションで、[Switch to policy view] (ポリシービューへの切り替え) を選択します。
[Edit] を選択します。

既存のポリシーの既存の Sid ブロックのいずれかの後に、次の Sid ブロックを入力します。各ユーザー入力プレースホルダーを独自の情報に置き換えます。


{
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

次に、リソースポリシーの既存の Sid ブロックのいずれかの後に次の Sid ブロックを入力して、サービス間の混乱した使節の問題を防止します。

このブロックは、aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、Systems Manager がリソースに別のサービスを提供する許可を制限します。

各ユーザー入力プレースホルダーを独自の情報に置き換えます。

[Save changes] (変更の保存) をクリックします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Change Managerオプションとベストプラクティスの設定

Change Manager のロールとアクセス許可の設定