Comment m'assurer que je reçois des notifications Amazon SNS d'AWS Config ?

Dernière mise à jour : 08/04/2021

J'ai configuré une notification Amazon Simple Notification Service (Amazon SNS) pour AWS Config, mais je ne reçois aucune notification.

Brève description

Essayez les résolutions de dépannage suivantes :

  • Vérifiez le statut de votre abonnement dans la rubrique Amazon SNS
  • Accordez à votre compte AWS l'autorisation de publier votre rubrique SNS
  • Accordez à votre inter-compte AWS l'autorisation de publier votre rubrique Amazon SNS
  • Confirmez qu'AWS Config peut accéder aux rubriques Amazon SNS chiffrées
  • Corrigez vos configurations d'autorisations Amazon CloudWatch Events et SNS

Résolution

Vérifiez le statut de votre abonnement dans la rubrique Amazon SNS

1.    Ouvrez la console Amazon SNS.

2.    Dans le panneau de navigation, choisissez Subscriptions (Abonnements).

3.    Dans la liste des abonnements, confirmez que le status de votre abonnement est défini sur Confirmé. Si Status (Statut) est défini sur PendingConfirmation (Confirmation en attente), suivez ensuite les instructions pour confirmer l'abonnement.

Accordez à votre compte AWS l'autorisation de publier votre rubrique SNS

Vous devez choisir un rôle lié au service ou un rôle personnalisé comme rôle d'enregistreur. Le rôle d'enregistreur est un rôle AWS Identity and Access Management (IAM) qui vous permet d'enregistrer des informations de configuration.

Important : en tant quebonne pratique de sécurité, utilisez le rôle de service de configuration personnalisé comme rôle d'enregistreur. Évitez d'utiliser le rôle lié à un service comme rôle d'enregistreur pour votre stratégie de rubrique inter-comptes. En effet, le rôle lié au service vous oblige à définir « config.amazonaws.com » comme propriété Service dans votre stratégie de rubrique Amazon SNS.

Pour remplacer l'Amazon Resource Name (ARN) du rôle lié au service par un ARN de rôle de service personnalisé, ajoutez l'autorisation suivante à la stratégie d'autorisations de rôle :

{
    "Effect": "Allow",
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:Region:AccountId:Topic-Name"
}

Pour plus d'informations sur les rôles personnalisés, consultez Autorisations pour le rôle IAM attribué à AWS Config.

Accordez à votre inter-compte AWS l'autorisation de publier votre rubrique Amazon SNS

Si vous avez choisi une rubrique SNS à partir d'un autre compte, configurez les configurations suivantes pour obtenir un accès inter-comptes :

1.    Ajoutez l'instruction suivante à la stratégie d'accès attachée à votre rubrique SNS :

{
    "Sid": "__console_pub_0",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::config-AccountId:root" OR "arn:aws:iam::config-AccountId:role/Custom_Service_role_name"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:Region:SNS-topic-AccountId:Topic-Name"
}

2.    Attachez l'instruction suivante au rôle IAM assumé par AWS Config :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublishToSNSTargetAccount",
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": "arn:aws:sns:Region:config-AccountId:Topic-Name"
        }
    ]
}

Confirmez qu'AWS Config peut accéder aux rubriques Amazon SNS chiffrées

Si votre rubrique SNS est chiffrée avec une clé AWS Key Management Service (AWS KMS), procédez comme suit :

1.    Confirmez que le rôle IAM assumé par AWS Config peut accéder à la clé requise pour déchiffrer la rubrique SNS. Par exemple :

{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::config-AccountId:role/ConfigRoleName"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:Encrypt"
    ],
    "Resource": "*"
}

2.    Ajoutez les autorisations AWS KMS dans la stratégie d'accès de votre rôle :

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
         
    ],
    "Resource": "*"
}

Corrigez vos configurations d'autorisations Amazon CloudWatch Events et SNS

1.    Confirmez que vous avez choisi le bon sujet SNS comme cible pour votre règle CloudWatch Events.

2.    Si vous utilisez Amazon CloudWatch pour surveiller les API AWS Config et envoyer des notifications à l'aide d'Amazon SNS, confirmez que CloudWatch dispose des autorisations de publication pour votre rubrique SNS. Par exemple, incluez l'instruction suivante dans la stratégie de ressources de votre rubrique :

{
    "Sid": "Allow_Publish_Events",
    "Effect": "Allow",
    "Principal": {
        "Service": "events.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:Region:AccountId:Topic-Name"
}