Monitorar mudanças de recursos da AWS com o Amazon SQS - AWS Config
Permissões para o Amazon SQS

Monitorar mudanças de recursos da AWS com o Amazon SQS

O AWS Config usa o Amazon Simple Notification Service (SNS) para enviar notificações sempre que um recurso da AWS compatível é criado, atualizado ou modificado como resultado de atividade da API do usuário. No entanto, você pode estar interessado em apenas algumas alterações de configuração de recurso. Por exemplo, você pode considerar essencial saber quando alguém modifica a configuração de um grupo de segurança, mas não precisa monitorar sempre que há uma alteração nas tags em suas instâncias do Amazon EC2. Ou, você pode fazer um programa que realiza ações específicas quando recursos específicos são atualizados. Por exemplo, você pode querer iniciar um determinado fluxo de trabalho quando uma configuração de um grupo de segurança é alterada. Se você deseja utilizar os dados do AWS Config de forma programática, dessa ou de outras formas, use uma fila do Amazon Simple Queue Service como o endpoint de notificação para o Amazon SNS.

nota

As notificações também podem vir do SNS na forma de e-mail, mensagem SMS (Short Message Service) para celulares e smartphones habitados para o serviço SMS, mensagem de notificação para um aplicativo em um dispositivo móvel ou mensagem de notificação para um ou mais endpoints HTTP ou HTTPS.

Uma única fila SQS pode se inscrever para vários tópicos, seja você tendo um tópico para cada região ou um tópico para cada conta e para cada região. Você deve se inscrever na fila do tópico SNS desejado. (Você pode se inscrever em várias filas para um tópico SNS.) Para obter mais informações, consulte Enviar mensagens do Amazon SNS para filas do Amazon SQS.

Permissões para o Amazon SQS

Para usar o Amazon SQS com o AWS Config, você deve configurar uma política que conceda permissões para sua conta executar todas as ações permitidas em uma fila do SQS. O exemplo de política a seguir concede permissão aos números de conta 111122223333 e 444455556666 para enviar mensagens pertencentes a cada alteração de configuração para a fila denominada arn:aws:sqs:us-east-2:444455556666:queue1.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "Queue1_Policy_UUID",
  "Statement": 
    {
       "Sid":"Queue1_SendMessage",
       "Effect": "Allow",
       "Principal": {
            "AWS": ["111122223333","444455556666"]
         },
        "Action": "sqs:SendMessage",
        "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
     }
}

Você também deve criar uma política que conceda permissões para conexões entre um tópico SNS e a fila SQS que se inscreve para aquele tópico. Veja a seguir um exemplo de política que permite que o tópico SNS com o Nome de recurso da Amazon (ARN) arn:aws:sns:us-east-2:111122223333:test-topic realize qualquer ação na fila denominada arn:aws:sqs:us-east-2:111122223333:test-topic-queue.

nota

A conta para o tópico SNS e a fila SQS devem estar na mesma região.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "SNStoSQS",
  "Statement": 
    {
      "Sid":"rule1",
      "Effect": "Allow",
      "Principal": {
        "Service": "sns.amazonaws.com"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
      "Condition" : {
        "StringEquals" : {
          "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
        }
      }
    }
}

Cada política pode incluir instruções que abrangem apenas uma única fila, não várias filas. Para informações sobre outras restrições nas políticas do SQS, consulte Informações especiais para políticas do Amazon SQS.