Configurar os tópicos do Amazon SNS para as notificações do Change Manager - AWS Systems Manager
Tarefa 1: Criar e assinar um tópico do Amazon SNSTarefa 2: Atualizar a política de acesso do Amazon SNSTarefa 3: Atualizar a política de acesso do AWS Key Management Service (opcional)

Configurar os tópicos do Amazon SNS para as notificações do Change Manager

Mudança de disponibilidade do Change Manager

O AWS Systems Manager Change Manager não estará mais disponível para novos clientes a partir de 7 de novembro de 2025. Se quiser usar o Change Manager, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte mudança de disponibilidade do AWS Systems Manager Change Manager.

Você pode configurar o Change Manager, uma ferramenta do AWS Systems Manager, para enviar notificações a um tópico do Amazon Simple Notification Service (Amazon SNS) para eventos relacionados a solicitações e modelos de alteração. Conclua as tarefas a seguir para receber notificações dos eventos do Change Manageraos quais você adiciona um tópico.

Tarefa 1: Criar e assinar um tópico do Amazon SNS

Primeiro, crie e se inscreva em um tópico do Amazon SNS. Para obter informações, consulte Criar um tópico do Amazon SNS e Assinar tópico do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

nota

Para receber notificações, você deverá especificar o nome do recurso da Amazon (ARN) de um tópico do Amazon SNS que estiver na mesma Região da AWS e Conta da AWS que a conta do administrador delegado.

Tarefa 2: Atualizar a política de acesso do Amazon SNS

Use o procedimento a seguir para atualizar a política de acesso do Amazon SNS, para que o Systems Manager possa publicar notificações do Change Manager no tópico do Amazon SNS que você criou na tarefa 1. Sem concluir esta tarefa, o Change Manager não terá permissão para enviar notificações para os eventos aos quais você adicionou o tópico.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.

  2. No painel de navegação, escolha Tópicos.

  3. Selecione o tópico criado na tarefa 1 e escolha Edit (Editar).

  4. Expanda Access policy (Política de acesso).

  5. Adicione e atualize o seguinte bloco do Sid à política existente e substitua cada espaço reservado para entrada do usuário pelas suas próprias informações.

    {
    "Sid": "Allow Change Manager to publish to this topic",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region:account-id:topic-name",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

    Insira esse bloco após o bloco Sid existente e substitua region, account-id e topic-name pelos valores apropriados para o tópico que você criou.

  6. Escolha Salvar alterações.

O sistema agora envia notificações para o tópico do Amazon SNS quando o tipo de evento que você adicionar ao tópico ocorrer.

Importante

Se você configurou o tópico do Amazon SNS com uma chave de criptografia do AWS Key Management Service (AWS KMS) no lado do servidor, conclua a tarefa 3.

Tarefa 3: Atualizar a política de acesso do AWS Key Management Service (opcional)

Se você ativou a criptografia do lado do servidor do AWS Key Management Service (AWS KMS) para seu tópico do Amazon SNS, atualize também a política de acesso da AWS KMS key escolhida ao configurar o tópico. Use o procedimento a seguir para atualizar a política de acesso, de forma que o Systems Manager possa publicar as notificações de aprovação do Change Manager no tópico do Amazon SNS que você criou na tarefa 1.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  3. Selecione o ID da chave gerenciada do cliente que você escolheu ao criar o tópico.

  4. Na seção Key Policy (Política de chaves), selecione Switch to policy view (Alternar para a visualização da política).

  5. Escolha Editar.

  6. Insira o seguinte bloco Sid após um dos blocos Sid existentes na política existente. Substitua cada espaço reservado para entrada do usuário por suas próprias informações.

    {
    "Sid": "Allow Change Manager to decrypt the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "ssm.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": [
                "account-id"
            ]
        }
    }
}

  7. Insira o seguinte bloco Sid após um dos blocos Sid existentes na política de recursos para ajudar a evitar o problema confused deputy entre serviços.

    Esse bloco usa as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount com o objetivo de limitar as permissões concedidas pelo Systems Manager para outro serviço ao recurso.

    Substitua cada espaço reservado para entrada do usuário por suas próprias informações.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        }
    ]
}

  8. Escolha Salvar alterações.