为 Change Manager 通知配置 Amazon SNS 主题 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为 Change Manager 通知配置 Amazon SNS 主题

您可以将 Amazon Systems Manager 的功能 Change Manager 配置为针对与更改请求和更改模板有关的事件向 Amazon Simple Notification Service (Amazon SNS) 主题发送通知。要接收针对您向其添加了主题的 Change Manager 事件的通知,请完成以下任务。

任务 1:创建并订阅 Amazon SNS 主题

首先,必须创建一个 Amazon SNS 主题并订阅此主题。有关更多信息,请参阅 Amazon Simple Notification Service 开发人员指南中的创建 Amazon SNS 主题订阅 Amazon SNS 主题

注意

要接收通知,您必须指定与委托管理员账户位于相同 Amazon Web Services 区域 和 Amazon Web Services 账户 的 Amazon SNS 主题的 Amazon Resource Name (ARN)。

任务 2:更新 Amazon SNS 访问策略

请使用以下过程更新 Amazon SNS 访问策略,以便 Systems Manager 能将 Change Manager 通知发布到您在“任务 1”中创建的 Amazon SNS 主题。如果不完成这项任务,Change Manager 将没有权限针对您为其添加主题的事件发送通知。

  1. 访问 https://console.aws.amazon.com/sns/v3/home,登录 Amazon Web Services Management Console 并打开 Amazon SNS 控制台。

  2. 在导航窗格中,选择 Topics (主题)

  3. 选择您在“任务 1”中创建的主题,然后选择 Edit (编辑)

  4. 展开 Access policy (访问策略)

  5. 将以下 Sid 数据块添加并更新到现有策略中,并将每个用户输入占位符替换为您的信息。

    { "Sid": "Allow Change Manager to publish to this topic", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:topic-name", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id" ] } } }

    在现有 Sid 数据块后输入此数据块,然后针对您创建的主题,将 regionaccount-idtopic-name 替换为适当的值。

  6. 选择保存更改

现在,当您添加到主题中的事件类型发生时,系统将向 Amazon SNS 主题发送通知。

重要

如果您已使用 Amazon Key Management Service (Amazon KMS) 服务器端加密密钥配置了 Amazon SNS 主题,则必须完成“任务 3”。

任务 3:(可选)更新 Amazon Key Management Service 访问策略

如果您为 Amazon SNS 主题启用了 Amazon Key Management Service (Amazon KMS) 服务器端加密,则还必须更新您在配置该主题时选择的 Amazon KMS key 的访问策略。请使用以下过程更新访问策略,以便 Systems Manager 能将 Change Manager 批准通知发布到您在“任务 1”中创建的 Amazon SNS 主题。

  1. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择您在创建主题时选择的客户托管密钥的 ID。

  5. Key Policy (密钥策略) 部分中,选择 Switch to policy view (切换到策略视图)

  6. 选择编辑

  7. 将以下 Sid 数据块添加到现有策略中,并将每个用户输入占位符替换为您的信息。

    { "Sid": "Allow Change Manager to decrypt the key", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "arn:aws:kms:region:account-id:key/key-id", "Condition": { "StringEquals": { "aws:SourceAccount": [ "account-id" ] } } }

    在现有 Sid 数据块之一后输入此数据块。

  8. 选择保存更改