• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 为 Change Manager 通知配置 Amazon SNS 主题
**Change Manager 可用性变更**
自 2025 年 11 月 7 日起,AWS Systems Manager Change Manager 将不再向新客户开放。如果想要使用 Change Manager,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Systems Manager Change Manager 可用性变更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)。
您可以将 Change Manager(AWS Systems Manager 中的一项工具)配置为针对与更改请求和更改模板有关的事件向 Amazon Simple Notification Service(Amazon SNS)主题发送通知。要接收针对您向其添加了主题的 Change Manager 事件的通知,请完成以下任务。
**Topics**
+ [任务 1:创建并订阅 Amazon SNS 主题](#change-manager-sns-setup-create-topic)
+ [任务 2:更新 Amazon SNS 访问策略](#change-manager-sns-setup-encryption-policy)
+ [任务 3:(可选)更新 AWS Key Management Service 访问策略](#change-manager-sns-setup-KMS-policy)
## 任务 1:创建并订阅 Amazon SNS 主题
首先,必须创建一个 Amazon SNS 主题并订阅此主题。有关更多信息,请参阅 *Amazon Simple Notification Service 开发人员指南*中的[创建 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)和[订阅 Amazon SNS 主题](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。
**注意**
要接收通知,您必须指定与委托管理员账户位于相同 AWS 区域 和 AWS 账户 的 Amazon SNS 主题的 Amazon Resource Name (ARN)。
## 任务 2:更新 Amazon SNS 访问策略
请使用以下过程更新 Amazon SNS 访问策略,以便 Systems Manager 能将 Change Manager 通知发布到您在“任务 1”中创建的 Amazon SNS 主题。如果不完成这项任务,Change Manager 将没有权限针对您为其添加主题的事件发送通知。
1. 访问 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home),登录 AWS 管理控制台 并打开 Amazon SNS 控制台。
1. 在导航窗格中,选择 **Topics (主题)**。
1. 选择您在“任务 1”中创建的主题,然后选择 **Edit (编辑)**。
1. 展开**访问策略**。
1. 将以下 `Sid` 数据块添加并更新到现有策略中,并将每个{{用户输入占位符}}替换为您的信息。
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:{{region}}:{{account-id}}:{{topic-name}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{account-id}}"
]
}
}
}
```
在现有 `Sid` 数据块后输入此数据块,然后针对您创建的主题,将 {{region}}、{{account-id}} 和 {{topic-name}} 替换为适当的值。
1. 选择**保存更改**。
现在,当您添加到主题中的事件类型发生时,系统将向 Amazon SNS 主题发送通知。
**重要**
如果您已使用 AWS Key Management Service (AWS KMS) 服务器端加密密钥配置了 Amazon SNS 主题,则必须完成“任务 3”。
## 任务 3:(可选)更新 AWS Key Management Service 访问策略
如果您为 Amazon SNS 主题启用了 AWS Key Management Service (AWS KMS) 服务器端加密,则还必须更新您在配置该主题时选择的 AWS KMS key 的访问策略。请使用以下过程更新访问策略,以便 Systems Manager 能将 Change Manager 批准通知发布到您在“任务 1”中创建的 Amazon SNS 主题。
1. 访问 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms),打开 AWS KMS 控制台。
1. 在导航窗格中,选择 **Customer managed keys (客户托管密钥)**。
1. 选择您在创建主题时选择的客户托管密钥的 ID。
1. 在 **Key Policy (密钥策略)** 部分中,选择 **Switch to policy view (切换到策略视图)**。
1. 选择**编辑**。
1. 在现有策略中的现有 `Sid` 块之一之后输入以下 `Sid` 块。将每个{{用户输入占位符}}替换为您自己的信息。
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:{{region}}:{{account-id}}:key/{{key-id}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{account-id}}"
]
}
}
}
```
1. 现在,在资源策略中现有的 `Sid` 块之一之后输入以下 `Sid` 块,以帮助防止[跨服务混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
此块使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键来限制 Systems Manager 向资源提供其他服务的权限。
将每个{{用户输入占位符}}替换为您自己的信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{topic-name}}",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:{{us-east-1}}:{{111122223333}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
}
}
}
]
}
```
------
1. 选择**保存更改**。