Comment puis-je autoriser les comptes AWS de mon organisation à publier des messages dans une rubrique Amazon SNS de mon compte ?

Date de la dernière mise à jour : 28/04/2020

Je souhaite qu'une rubrique Amazon Simple Notification Service (Amazon SNS) de mon compte AWS accepte les messages publiés par n'importe quel compte de mon organisation dans AWS Organizations. Comment puis-je configurer cela ?

Brève description

Configurez la stratégie d'accès de la rubrique SNS pour autoriser n'importe quel compte de votre organisation à publier des messages dans la rubrique. Dans la stratégie d'accès, incluez la clé de condition globale aws:PrincipalOrgID et spécifiez l'ID de votre organisation.

Solution

1.    Recherchez l'ID de votre organisation dans la console Organizations. Pour plus d'informations, consultez Affichage les détails d'une organisation à partir du compte principal.

2.    Créez une rubrique dans la console Amazon SNS. Notez l'Amazon Resource Name (ARN) de votre nouvelle rubrique.

3.    Dans la console Amazon SNS, modifiez la rubrique. Sur la page Edit <topicName> (Modifier <topicName>), développez Access policy - optional (Stratégie d'accès - facultative) et collez l'exemple de stratégie suivant dans l'éditeur JSON :

Remarque : remplacez snsTopicArn par l'ARN de la rubrique. Remplacez myOrgId par l'ID de votre organisation.

{
    "Version": "2008-10-17",
    "Id": "__default_policy_ID",
    "Statement": [
        {
            "Sid": "allow-publish-from-organization-accounts",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "sns:Publish"
            ],
            "Resource": "snsTopicArn",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "myOrgId"
                }
            }
        }
    ]
}

Conseil : pour autoriser les comptes de votre organisation à effectuer davantage d'actions d'API Amazon SNS (par exemple, GetTopicAttributes), ajoutez des actions sous « Action » dans la stratégie.

4.    Abonnez votre adresse e-mail à la rubrique SNS à des fins de test. Lorsque vous créez l'abonnement, veillez à spécifier l'ARN de votre rubrique.

5.    Dans votre messagerie, recherchez le message de confirmation de l'abonnement provenant des notifications AWS, puis confirmez l’abonnement.

6.    A l'aide de n'importe quel compte AWS de votre organisation, publiez un message dans la rubrique SNS de votre compte. Dans la demande de publication, veillez à préciser l'ARN de la rubrique.

Si la publication aboutit, vous recevez le message publié dans votre messagerie.