Comment modifier la stratégie de sujet sns pour obtenir l'autorisation d'accéder à l'inspecteur aws dans us-east-1? Assessment Templates n'a pas l'autorisation d'accéder au sujet sns. J'ai eu cette erreur:
{
"Version": "2008-10-17",
"Id": "__default_policy_ID",
"Statement": [
{
"Sid": "__default_statement_ID",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"SNS:GetTopicAttributes",
"SNS:SetTopicAttributes",
"SNS:AddPermission",
"SNS:RemovePermission",
"SNS:DeleteTopic",
"SNS:Subscribe",
"SNS:ListSubscriptionsByTopic",
"SNS:Publish",
"SNS:Receive"
],
"Resource": "arn:aws:sns:us-east-1:xxxxxxxx:inspector",
"Condition": {
"StringEquals": {
"AWS:SourceOwner": "xxxxxxxxx"
}
}
}
]
}
The Inspector Account was denied access to the requested topic Grant account xxxxxxxxx permission to publish to the topic arn:aws:sns:us-east-1:xxxxxxxx:inspector
3 Réponses :
J'ai supprimé le bloc de conditions
"Condition": { "StringEquals": { "AWS: SourceOwner": "xxxxxxxxx" } }
Fonctionne maintenant pour moi.
Avoir cette erreur similaire, mais la partie étrange est que le numéro de compte indiqué n'est même pas l'un de nos comptes. 3161 ********. Très étrange. J'ai supprimé la condition IAM SNS que vous avez mentionnée et cela ne fonctionnait toujours pas.
Ce lien sur AWS a exactement ce que vous devez faire:
Pour configurer un sujet SNS pour les notifications
Créez un sujet SNS. Consultez Didacticiel: création d'une rubrique Amazon SNS. Lorsque vous créez la rubrique, développez la stratégie d'accès - section facultative. Ensuite, procédez comme suit pour permettre à l'évaluation d'envoyer des messages au sujet:
Pour Choose method, choisissez Basic.
Pour Définir qui peut publier des messages sur le sujet, choisissez Uniquement le les comptes AWS spécifiés, puis saisissez l'ARN du compte dans le Région dans laquelle vous créez le sujet:
USA Est (Ohio) - arn: aws: iam :: 646659390643: root
USA Est (Virginie du Nord) - arn: aws: iam :: 316112463485: root
USA Ouest (Californie du Nord) - arn: aws: iam :: 166987590008: root
USA Ouest (Oregon) - arn: aws: iam :: 758058086616: root
Asie-Pacifique (Mumbai) - arn: aws: iam :: 162588757376: root
Asie-Pacifique (Séoul) - arn: aws: iam :: 526946625049: root
Asie-Pacifique (Sydney) - arn: aws: iam :: 454640832652: root
Asie-Pacifique (Tokyo) - arn: aws: iam :: 406045910587: root
Europe (Francfort) - arn: aws: iam :: 537503971621: root
Europe (Irlande) - arn: aws: iam :: 357557129151: root
Europe (Londres) - arn: aws: iam :: 146838936955: root
Europe (Stockholm) - arn: aws: iam :: 453420244670: root
AWS GovCloud (USA Est) - arn: aws-us-gov: iam :: 206278770380: root
AWS GovCloud (USA-Ouest) - arn: aws-us-gov: iam :: 850862329162: root
Pour Définir qui peut s'abonner à ce sujet, choisissez Uniquement les Comptes AWS, puis saisissez l'ARN du compte dans la région dans lequel vous créez le sujet.
Ajoutez ceci à votre politique d'accès SNS. Cela a fonctionné pour moi.
Remarque: Mon AWS Inspector est configuré dans l'Oregon pour que j'utilise "arn: aws: iam :: 758058086616: root"
Et mon sujet SNS est déjà dans la région de l'Oregon.
{
"Sid": "CustomInspectorPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::758058086616:root"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-west-2:<YOUR AWS ACCOUNT NO>:<YOUR SNS TOPIC>"
}