堆棧內存溢出
  簡體   English   中英

修改檢查器的訪問策略 SNS

[英]modify the Access policy SNS for inpector

 原文  2019-04-16 16:27:40       amazon-web-services/ amazon-iam/ amazon-sns/ aws-access-policy

問題描述

如何修改 sns 主題策略以允許訪問 us-east-1 中的 aws inspector?評估模板沒有 sns 主題的權限。 我收到此錯誤:

The Inspector Account was denied access to the requested topic Grant account xxxxxxxxx permission to publish to the topic arn:aws:sns:us-east-1:xxxxxxxx:inspector

{
  "Version": "2008-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__default_statement_ID",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "SNS:GetTopicAttributes",
        "SNS:SetTopicAttributes",
        "SNS:AddPermission",
        "SNS:RemovePermission",
        "SNS:DeleteTopic",
        "SNS:Subscribe",
        "SNS:ListSubscriptionsByTopic",
        "SNS:Publish",
        "SNS:Receive"
      ],
      "Resource": "arn:aws:sns:us-east-1:xxxxxxxx:inspector",
      "Condition": {
        "StringEquals": {
          "AWS:SourceOwner": "xxxxxxxxx"
        }
      }
    }
  ]
}

3 個解決方案

解決方案1
 2  2020-03-19 21:17:26

AWS 上的這個鏈接正是您需要做的:

為通知設置 SNS 主題

創建 SNS 主題。 請參閱教程:創建 Amazon SNS 主題。 創建主題時,展開訪問策略 - 可選部分。 然后執行以下操作以允許評估向主題發送消息:

對於選擇方法,選擇基本。

對於 Define who can publish messages to the topic,選擇 Only the specified AWS accounts,然后輸入您要在其中創建主題的區域中的賬戶的 ARN:

美國東部(俄亥俄州)- arn:aws:iam::646659390643:root

美國東部(弗吉尼亞北部)- arn:aws:iam::316112463485:root

美國西部(加利福尼亞北部)- arn:aws:iam::166987590008:root

美國西部(俄勒岡)- arn:aws:iam::758058086616:root

亞太地區(孟買)- arn:aws:iam::162588757376:root

亞太地區(首爾)- arn:aws:iam::526946625049:root

亞太地區(悉尼)- arn:aws:iam::454640832652:root

亞太地區(東京)- arn:aws:iam::406045910587:root

歐洲(法蘭克福)- arn:aws:iam::537503971621:root

歐洲(愛爾蘭)- arn:aws:iam::357557129151:root

歐洲(倫敦)- arn:aws:iam::146838936955:root

歐洲(斯德哥爾摩)- arn:aws:iam::453420244670:root

AWS GovCloud(美國東部)- arn:aws-us-gov:iam::206278770380:root

AWS GovCloud(美國西部)- arn:aws-us-gov:iam::850862329162:root

對於定義誰可以訂閱此主題,選擇僅指定的 AWS 賬戶,然后輸入您要在其中創建主題的區域中的賬戶的 ARN。

解決方案2
 1  2019-08-07 19:24:35

我已經刪除了條件塊

“條件”:{“StringEquals”:{“AWS:SourceOwner”:“xxxxxxxxx”}}

現在為我工作。

解決方案3
 1  2020-06-02 06:14:39

將此添加到您的 SNS 訪問策略中。 它對我有用。

注意:我的 AWS Inspector 在俄勒岡州配置,因此我使用的是“arn:aws:iam::758058086616:root”

參考

我的 SNS 主題已經在俄勒岡地區。

{
  "Sid": "CustomInspectorPolicy",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::758058086616:root"
  },
  "Action": "SNS:Publish",
  "Resource": "arn:aws:sns:us-west-2:<YOUR AWS ACCOUNT NO>:<YOUR SNS TOPIC>"
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用訪問策略訪問加密的 SNS 主題 如何將 iam 策略附加到 Lambda function 以進行 SNS 發布訪問? AWS SNS 主題策略 Cloudformation AWS SNS:多個 SourceOwner 的不同策略 Terraform 和 AWS:修改現有策略 如何使用過濾策略從 SNS 主題中排除 cloudwatch 警報? 如何創建匹配嵌套消息屬性的 SNS 過濾策略? boto3 SNS:訂閱主題時添加過濾策略 使用CDK,SNS主題Policy Statement,使用actions:["sns:*"],Cloudformation導致“Policy statement action out of service scope!” Bucket Policy 允許寫入訪問,盡管策略中只有 getObject
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM