Criação de um tópico do Amazon SNS para notificações de anomalias - Gerenciamento de custos da AWS
Conferir ou reenviar e-mails de confirmação de notificaçãoProteger os dados de alertas de detecção de anomalias do Amazon SNS com a SSE e o AWS KMS

Criação de um tópico do Amazon SNS para notificações de anomalias

Para criar um monitor de detecção de anomalias que envia notificações para um tópico do Amazon Simple Notification Service (Amazon SNS), você já deve ter um tópico do Amazon SNS ou criar um. Você pode usar os tópicos do Amazon SNS para enviar notificações pelo SNS e por e-mail. AWS A Detecção de Anomalias em Custos deve ter permissões para enviar uma notificação para seu tópico.

Para criar um tópico de notificação do Amazon SNS e conceder permissões

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Tópicos.

  3. Escolha Criar tópico.

  4. Em Nome, insira o nome do tópico da notificação.

  5. (Opcional) Em Nome de exibição, insira o nome a ser exibido quando você recebe uma notificação.

  6. Em Política de acesso, selecione Avançado.

  7. No campo de texto da política, depois de "Statement": [, adicione uma das seguintes instruções:

    Para permitir que o serviço de Detecção de Anomalias em Custos da AWS publique no tópico do Amazon SNS, use a instrução a seguir.

    {
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN"
}

    Para permitir que o serviço de Detecção de Anomalias em Custos da AWS publique no tópico do Amazon SNS somente em nome de uma determinada conta, use a instrução a seguir.

    {
  "Sid": "E.g., AWSAnomalyDetectionSNSPublishingPermissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "costalerts.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "your topic ARN",
  "Condition": {
        "StringEquals": {
          "aws:SourceAccount": [
            "account-ID"
          ]
        }
  }
}
    nota

    Nesta política de tópico, você insere o ID da conta da assinatura como o valor da condição aws:SourceAccount. Essa condição faz com que a Detecção de Anomalias em Custos da AWS interaja com o tópico do Amazon SNS somente ao realizar operações para a conta proprietária da assinatura.

    Você pode restringir a Detecção de Anomalias em Custos da AWS para interagir com o tópico somente ao realizar operações em nome de uma assinatura específica. Para fazer isso, use a condição aws:SourceArn na política de tópico.

    Para obter mais informações sobre essas condições, consulte aws:SourceAccount e aws:SourceArn, no Guia do usuário do IAM.

  8. Na declaração de política de tópico que você selecionar, substitua os seguintes valores:

    • Substitua (por exemplo, AWSAnomalyDetectionSNSPublishingPermissions) por uma string. O Sid deve ser exclusivo na política.

    • Substitua seu ARN de tópico pelo nome do recurso da Amazon (ARN) do Amazon SNS.

    • Se você estiver usando o extrato com a condição aws:SourceAccount, substitua account-ID pelo ID da conta à qual pertence a assinatura. Se o tópico do Amazon SNS tiver várias assinaturas de contas diferentes, adicione vários IDs de conta à condição aws:SourceAccount.

  9. Escolha Criar tópico.

    Seu tópico agora é exibido na lista de tópicos na página Tópicos.

Conferir ou reenviar e-mails de confirmação de notificação

Ao criar um monitor de detecção de anomalias com notificações, você também cria notificações do Amazon SNS. Para que as notificações sejam enviadas, é necessário aceitar a assinatura no tópico de notificações do Amazon SNS.

Para confirmar se as assinaturas das notificações são aceitas ou para reenviar um e-mail de confirmação de assinatura, use o console do Amazon SNS.

Para consultar o status de notificação ou reenviar um e-mail de confirmação de notificação

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Assinaturas.

  3. Verifique o status da sua notificação. Em Status, será exibido PendingConfirmation se uma assinatura for aceita e confirmada.

  4. (Opcional) Para reenviar uma solicitação de confirmação, selecione a assinatura com confirmação pendente e escolha Confirmação da solicitação. O Amazon SNS enviará uma solicitação de confirmação para os endpoints inscritos para a notificação.

    Ao receber o e-mail, os proprietários de um endpoint devem selecionar o link Confirmar inscrição para ativar a notificação.

Proteger os dados de alertas de detecção de anomalias do Amazon SNS com a SSE e o AWS KMS

É possível usar a criptografia do lado do servidor (SSE) para transferir dados confidenciais em tópicos criptografados. A SSE protege mensagens do Amazon SNS usando chaves gerenciadas no AWS Key Management Service (AWS KMS).

Para gerenciar a SSE usando o Console de gerenciamento da AWS ou o SDK da AWS, consulte Habilitar criptografia do lado do servidor (SSE) para um tópico do Amazon SNS no Guia de conceitos básicos do Amazon Simple Notification Service.

Para criar tópicos criptografados usando o AWS CloudFormation, consulte o Guia do usuário do AWS CloudFormation.

A SSE criptografa mensagens assim que o Amazon SNS as recebe. As mensagens são armazenadas criptografadas e são descriptografadas usando o Amazon SNS somente quando são enviadas.

Configurar permissões do AWS KMS

É necessário configurar as políticas de chaves do AWS KMS antes de usar a criptografia do lado do servidor (SSE). Você pode usar essa configuração para criptografar tópicos, além de criptografar e descriptografar mensagens. Para obter informações sobre permissões para AWS KMS, consulte Permissões da API do AWS KMS: referência de ações e recursos no Guia do desenvolvedor do AWS Key Management Service.

Também é possível usar políticas do IAM para gerenciar as permissões de chaves do AWS KMS. Para obter mais informações, consulte Using IAM Policies with AWS KMS.

nota

Você pode configurar permissões globais para enviar e receber mensagens do Amazon SNS. No entanto, o AWS KMS exige que você nomeie o nome do recurso da Amazon (ARN) completo de AWS KMS keys (chaves KMS) nas Regiões da AWS específicas. É possível encontrar isso na seção Recurso de uma política do IAM.

Garanta que as políticas de chaves da chave do KMS concedam as permissões necessárias. Para fazer isso, indique as entidades principais que produzem e consomem mensagens criptografadas no Amazon SNS como usuários na política de chaves do KMS.

Para habilitar a compatibilidade entre a Detecção de Anomalias em Custos da AWS e tópicos criptografados do Amazon SNS

  1. Crie uma nova chave do KMS.

  2. Adicione uma das seguintes políticas como política de chave do KMS:

    Para conceder ao serviço de Detecção de Anomalias em Custos da AWS acesso à chave do KMS, use a seguinte instrução.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "costalerts.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

    Para conceder ao serviço de Detecção de Anomalias em Custos da AWS acesso à chave do KMS somente ao realizar operações em nome de uma determinada conta, use a instrução a seguir.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "costalerts.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "account-ID"
                    ]
                }
            }
        }
    ]
}
    nota

    Nessa política de chave do KMS, você insere o ID da conta da assinatura como o valor da condição aws:SourceAccount. Essa condição faz com que a Detecção de Anomalias em Custos da AWS interaja com a chave do KMS somente ao realizar operações para a conta proprietária da assinatura.

    Para que a Detecção de Anomalias em Custos da AWS interaja com a chave do KMS somente ao realizar operações em nome de uma assinatura específica, use a condição aws:SourceArn na política de chave do KMS.

    Para obter mais informações sobre estas condições, consulte aws:SourceAccount e aws:SourceArn, no Guia do usuário do IAM.

  3. Se você estiver usando a política de chave do KMS com a condição aws:SourceAccount, substitua account-ID pelo ID da conta à qual pertence a assinatura. Se o tópico do Amazon SNS tiver várias assinaturas de contas diferentes, adicione vários IDs de conta à condição aws:SourceAccount.

  4. Habilite a SSE para seu tópico do SNS.

    nota

    Use a mesma chave do KMS que concede as permissões de Detecção de Anomalias em Custos da AWS para publicar em tópicos criptografados do Amazon SNS.

  5. Escolha Salvar alterações.