Veröffentlichen einer Amazon SNS Nachricht aus Amazon VPC - Amazon Simple Notification Service
Bevor Sie beginnenSchritt 1: Erstellen eines SchlüsselpaaresSchritt 2: Erstellen von RessourcenSchritt 3: Überprüfen Sie die Internetverbindung für Ihre InstanceSchritt 4: Erstellen eines EndpunktsSchritt 5: Veröffentlichen einer NachrichtSchritt 6: ÜberprüfenSchritt 7: BereinigenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Veröffentlichen einer Amazon SNS Nachricht aus Amazon VPC

In diesem Abschnitt erfahren Sie, wie Sie ein Amazon SNS Amazon SNS-Thema veröffentlichen und gleichzeitig die Nachrichten in einem privaten Netzwerk geschützt halten. Sie veröffentlichen eine Nachricht von einer Amazon EC2 Instance, die in Amazon Virtual Private Cloud (Amazon VPC) gehostet wird. Die Nachricht bleibt im AWS Netzwerk, ohne dass sie über das öffentliche Internet übertragen wird. Durch die private Veröffentlichung von Nachrichten von einer VPC aus können Sie die Sicherheit des Datenverkehrs zwischen Ihren Anwendungen und Amazon SNS verbessern. Diese Sicherheit ist wichtig, wenn Sie personenbezogene Informationen (PII) über Ihre Kunden veröffentlichen oder wenn Ihre Anwendung Marktregulierungen unterliegt. Beispiel: Die private Veröffentlichung ist hilfreich bei einem Gesundheitssystem, das den Health Insurance Portability and Accountability Act (HIPAA) erfüllen muss, oder bei einem Finanzsystem, das den Payment Card Industry Data Security Standard (PCI DSS) erfüllen muss.

Gehen Sie wie folgt vor:

  • Verwenden Sie eine AWS CloudFormation Vorlage, um automatisch ein temporäres privates Netzwerk in Ihrem zu erstellen AWS-Konto.

  • Erstellen Sie einen VPC-Endpunkt, der die VPC mit Amazon SNS verbindet.

  • Melden Sie sich bei einer Amazon EC2-Instance an und veröffentlichen Sie eine Nachricht privat in einem Amazon SNS-Thema.

  • Vergewissern Sie sich, dass die Nachricht erfolgreich zugestellt wurde.

  • Löschen Sie die Ressourcen, die Sie während dieses Vorgangs erstellt haben, damit sie nicht in Ihrem verbleiben AWS-Konto.

Das folgende Diagramm zeigt das private Netzwerk, das Sie in Ihrem AWS Konto erstellen, wenn Sie diese Schritte ausführen:

Die Architektur des privaten Netzwerks, das Sie in diesem Tutorial erstellen.

Dieses Netzwerk besteht aus einer VPC, die eine Amazon-EC2-Instance enthält. Die Instance stellt über einen Schnittstellen-VPC-Endpunkt eine Verbindung mit Amazon SNS her. Dieser Endpunkttyp stellt eine Verbindung zu Diensten her, die von bereitgestellt werden. AWS PrivateLink Nach dem Herstellen dieser Verbindung können Sie sich bei der Amazon-EC2-Instance anmelden und Nachrichten im Amazon SNS-Thema veröffentlichen, auch wenn das Netzwerk nicht mit dem öffentlichen Internet verbunden ist. Das Thema verteilt die Nachrichten, die es erhält, auf zwei AWS Lambda Abonnementfunktionen. Diese Funktionen protokollieren die Nachrichten, die sie erhalten, in Amazon CloudWatch Logs.

Es dauert ungefähr 20 Minuten, bis diese Schritte fertig ausgeführt sind.

Bevor Sie beginnen

Bevor Sie beginnen, benötigen Sie einen Amazon Web Services (AWS)-Konto. Wenn Sie sich registrieren, wird Ihr Konto automatisch für alle Dienste angemeldet AWS, einschließlich Amazon SNS und Amazon VPC. Wenn Sie nicht bereits ein Konto erstellt haben, wechseln Sie zu https://aws.amazon.com/ und wählen Sie Create a Free Account (Kostenloses Konto erstellen) aus.

Schritt 1: Erstellen eines Amazon EC2-Schlüsselpaares

Ein Schlüsselpaar wird verwendet, um sich an einer Amazon EC2-Instance anzumelden. Es besteht aus einem öffentlichen Schlüssel zum Verschlüsseln Ihrer Anmeldeinformationen und einem privaten Schlüssel zum Entschlüsseln. Wenn Sie ein Schlüsselpaar erstellen, laden eine Kopie des privaten Schlüssels herunter. Später verwenden Sie das Schlüsselpaar zum Anmelden an einer Amazon EC2 Instance. Zum Anmelden geben Sie den Namen des Schlüsselpaares und den privaten Schlüssel an.

So erstellen Sie ein Schlüsselpaar

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Suchen Sie im Navigationsmenü auf der linken Seite den Abschnitt Network & Security (Netzwerk und Sicherheit). Wählen Sie dann Key Pairs (Schlüsselpaare).

  3. Wählen Sie Create Key Pair aus.

  4. Geben Sie im Fenster Create Key Pair (Schlüsselpaar erstellen) für Key pair name (Schlüsselpaar-Name) den Wert VPCE-Tutorial-KeyPair ein. Wählen Sie dann die Option Erstellen.

    Das Fenster Create Key Pair mit dem Text „VPCE-Tutorial-KeyPair“ im Feld Name des Schlüsselpaars.

  5. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Bewahren Sie es an einem sicheren Ort auf. Amazon EC2 gibt der Datei die Erweiterung .pem.

  6. (Optional) Wenn Sie einen SSH-Client auf Ihrem Mac- oder Linux-Computer verwenden, um eine Verbindung mit der Instance herzustellen, legen Sie die Berechtigungen für die private Schlüsseldatei mit dem Befehl chmod fest, sodass nur Sie diese lesen können:

    1. Öffnen Sie ein Terminal und navigieren Sie zu dem Verzeichnis, das den privaten Schlüssel enthält: 

      $ cd /filepath_to_private_key/

    2. Legen Sie mit folgendem Befehl die Berechtigungen fest:

      $ chmod 400 VPCE-Tutorial-KeyPair.pem

Schritt 2: Erstellen Sie die Ressourcen AWS

Um die Infrastruktur einzurichten, verwenden Sie eine CloudFormation Vorlage. Bei einer Vorlage handelt es sich um eine Datei, die als Vorlage für die Erstellung von AWS -Ressourcen dient, wie z. B. Amazon EC2-Instances und Amazon SNS-Themen. Die Vorlage für diesen Prozess steht Ihnen GitHub zum Herunterladen zur Verfügung.

Sie stellen die Vorlage zur Verfügung und stellen CloudFormation die Ressourcen CloudFormation, die Sie benötigen, als Stapel in Ihrem bereit AWS-Konto. Bei einem Stack handelt es sich um eine Sammlung von Ressourcen, die Sie als einzelne Einheit verwalten. Wenn Sie diese Schritte abgeschlossen haben, können Sie CloudFormation damit alle Ressourcen im Stack auf einmal löschen. Diese Ressourcen verbleiben nicht in Ihrem AWS-Konto, es sei denn, Sie möchten, dass sie es tun.

Der Stack für dieses Tutorial enthält die folgenden Ressourcen:

  • Eine VPC und die zugehörigen Netzwerkressourcen, einschließlich eines Subnetzes, einer Sicherheitsgruppe, eines Internet-Gateways und einer Routing-Tabelle.

  • Eine Amazon EC2-Instance, die im Subnetz in der VPC gestartet wird.

  • Amazon SNS-Thema.

  • Zwei AWS Lambda Funktionen. Diese Funktionen empfangen Nachrichten, die im Amazon SNS SNS-Thema veröffentlicht werden, und protokollieren Ereignisse in CloudWatch Logs.

  • CloudWatch Amazon-Metriken und -Protokolle.

  • Eine IAM-Rolle, die es der Amazon EC2 EC2-Instance ermöglicht, Amazon SNS zu verwenden, und eine IAM-Rolle, die es den Lambda-Funktionen ermöglicht, in Protokolle zu schreiben. CloudWatch

Um AWS die Ressourcen zu erstellen

  1. Laden Sie die Vorlagendatei von der GitHub Website herunter.

  2. Melden Sie sich bei der CloudFormation -Konsole an.

  3. Wählen Sie Stack erstellen aus.

  4. Wählen Sie auf der Seite Select Template (Vorlage auswählen) die Option Upload a template to Amazon S3 (Eine Vorlage zu Amazon S3 hochladen) aus. Wählen Sie dann Ihre Datei und Next (Weiter) aus.

  5. Geben Sie auf der Seite Specify Details (Details angeben) Stack- und Schlüsselnamen an:

    1. Geben Sie für Stack name VPCE-Tutorial-Stack ein.

    2. Wählen Sie für KeyNameVPCE-Tutorial -. KeyPair

    3. Behalten Sie für SSHLocationden Standardwert von bei. 0.0.0.0/0

      Die Seite „Details angeben“ mit ausgefüllten Wertefeldern für Stackname KeyName, und SSHLocation.

    4. Wählen Sie Weiter aus.

  6. Behalten Sie auf der Seite Options (Optionen) alle Standardwerte bei, und wählen Sie dann Next (Weiter).

  7. Überprüfen Sie die Einstellungen auf der Seite Review (Überprüfen) die Stack-Details.

  8. Bestätigen Sie unter Funktionen, dass CloudFormation möglicherweise IAM-Ressourcen mit benutzerdefinierten Namen erstellt werden.

  9. Wählen Sie Erstellen aus.

    Die CloudFormation Konsole öffnet die Seite Stacks. Der VPCE-Tutorial-Stack hat den Status CREATE_IN_PROGRESS. Nach Abschluss des Erstellungsprozesses ändert sich der Status in wenigen Minuten in CREATE_COMPLETE.

    Der CloudFormation Stack mit dem Status CREATE_COMPLETE.
    Tipp

    Wählen Sie die Schaltfläche Refresh (Aktualisieren), um den neuesten Stack-Status zu sehen.

Schritt 3: Bestätigen Sie, dass Ihre Amazon EC2-Instance über keinen Internetzugang verfügt

Die im vorherigen Schritt in Ihrer VPC gestartete Amazon EC2-Instance hat keinen Internetzugang. Sie verbietet ausgehenden Datenverkehr und kann keine Nachrichten in Amazon SNS veröffentlichen. Überprüfen Sie dies, indem Sie sich bei der Instance anmelden. Anschließend versuchen Sie, eine Verbindung zu einem öffentlichen Endpunkt herzustellen, und versuchen, eine Nachricht an Amazon SNS zu senden.

An diesem Punkt schlägt der Veröffentlichungsversuch fehl. In einem späteren Schritt nach dem Erstellen eines VPC-Endpunkts für Amazon SNS ist der Veröffentlichungsversuch erfolgreich.

Stellen Sie eine Verbindung zu Ihrer Amazon EC2-Instance her

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Suchen Sie im Navigationsmenü auf der linken Seite den Abschnitt Instances. Wählen Sie anschließend Instances.

  3. Wählen Sie in der Liste der Instanzen VPCE - aus. Tutorial-EC2Instance

  4. Kopieren Sie den Hostnamen, der in der Spalte Public DNS angegeben ist.

    Details zur Amazon EC2 EC2-Instance, die von CloudFormation gestartet wurde.

  5. Öffnen Sie ein -Terminalfenster. Stellen Sie von dem Verzeichnis aus, das das key pair enthält, mithilfe des folgenden Befehls eine Verbindung zur Instance her. Dabei instance-hostname handelt es sich um den Hostnamen, den Sie von der Amazon EC2 EC2-Konsole kopiert haben:

    $ ssh -i VPCE-Tutorial-KeyPair.pem ec2-user@instance-hostname
So überprüfen Sie, ob die Instance eine Verbindung zum Internet hat

  • Versuchen Sie in Ihrem Terminal, eine Verbindung mit einem öffentlichen Endpunkt herzustellen, wie z. B. amazon.com:

    $ ping amazon.com

    Da der Verbindungsversuch fehlschlägt, können Sie ihn jederzeit stornieren (Strg+C unter Windows oder Befehl+C unter macOS).

Überprüfen, dass die Instance keine Verbindung zu Amazon SNS hat

  1. Melden Sie sich bei der Amazon SNS-Konsole an.

  2. Wählen Sie im Navigationsmenü auf der linken Seite Topics (Themen) aus.

  3. Kopieren Sie auf der Seite Topics (Themen) den Amazon-Ressourcennamen (ARN) für das Thema VPCE-Tutorial-Topic.

  4. Versuchen Sie in Ihrem Terminal eine Nachricht an das Thema zu veröffentlichen:

    $ aws sns publish --region aws-region --topic-arn sns-topic-arn --message "Hello"

    Da der Veröffentlichungsversuch fehlschlägt, können Sie ihn jederzeit abbrechen.

Schritt 4: Erstellen eines Amazon VPC-Endpunkts für Amazon SNS

Zum Herstellen einer Verbindung der VPC mit Amazon SNS definieren Sie einen Schnittstellen-VPC-Endpunkt. Nach dem Hinzufügen des Endpunkts können Sie sich bei der Amazon EC2-Instance in Ihrer VPC anmelden und von dort aus die Amazon SNS-API verwenden. Sie können Nachrichten in dem Thema veröffentlichen. Die Nachrichten werden privat veröffentlicht. Sie bleiben im AWS Netzwerk und nutzen nicht das öffentliche Internet.

Anmerkung

Der Instanz fehlt immer noch der Zugriff auf andere AWS Dienste und Endpunkte im Internet.

So erstellen Sie den Endpunkt

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsmenü auf der linken Seite Endpoints (Endpunkte) aus.

  3. Klicken Sie auf Endpunkt erstellen.

  4. Behalten Sie auf der Seite Create Endpoint (Endpunkt erstellen) für Service category (Servicekategorie) die Standardauswahl von AWS Services bei.

  5. Wählen Sie für Service Name (Service-Name) den Service-Namen für Amazon SNS.

    Die Servicenamen variieren abhängig von der ausgewählten Region. Wenn Sie beispielsweise US East (Nord-Virginia) ausgewählt haben, lautet der Dienstname com.amazonaws. us-east-1.sns.

  6. Wählen Sie für VPC die VPC mit dem Namen VPCE-Tutorial-VPC.

    Das VPC-Menü auf der Seite "Create Endpoint (Endpunkt erstellen)".

  7. Wählen Sie unter Subnets (Subnetze) die Subnetze aus, deren Subnetz-ID VPCE-Tutorial-Subnet enthält.

    Die Subnetze auf der Seite "Create Endpoints (Endpunkte erstellen)".

  8. Wählen Sie für Enable Private DNS Name (Privaten DNS-Namen aktivieren) die Option Enable for this endpoint (Für diesen Endpunkt aktivieren) aus.

  9. Wählen Sie für Sicherheitsgruppe die Option Sicherheitsgruppe auswählen und anschließend VPCE-Tutorial - aus. SecurityGroup

    Die Sicherheitsgruppen auf der Seite "Create Endpoints (Endpunkte erstellen)".

  10. Wählen Sie Endpunkt erstellen aus. Die Amazon VPC-Konsole bestätigt, dass ein VPC-Endpunkt erstellt wurde.

    Die Bestätigungsmeldung, die nach dem Erstellen eines Endpunkts angezeigt wird.

  11. Klicken Sie auf Schließen.

    Die Amazon-VPC-Konsole öffnet die Seite Endpunkte. Der neue Endpunkt weist den Status pending (ausstehend) auf. Nach Abschluss des Erstellungsprozesses ändert sich der Status in wenigen Minuten in available (verfügbar).

    Der VPC-Endpunkt mit dem Status "available (verfügbar)".

Schritt 5: Veröffentlichen einer Nachricht in Ihrem Amazon SNS-Thema

Jetzt, da Ihre VPC einen Endpunkt für Amazon SNS umfasst, können Sie sich an der Amazon EC2-Instance anmelden und Nachrichten im Thema veröffentlichen.

So veröffentlichen Sie eine Nachricht

  1. Falls Ihr Terminal nicht mehr mit Ihrer Amazon EC2-Instance verbunden ist, stellen Sie die Verbindung wieder her:

    $ ssh -i VPCE-Tutorial-KeyPair.pem ec2-user@instance-hostname

  2. Führen Sie den gleichen Befehl aus wie zuvor, um eine Nachricht in Ihrem Amazon SNS-Thema zu veröffentlichen. Dieses Mal ist der Veröffentlichungsversuch erfolgreich und Amazon SNS gibt eine Mitteilungs-ID zurück:

    $ aws sns publish --region aws-region --topic-arn sns-topic-arn --message "Hello"


{
    "MessageId": "5b111270-d169-5be6-9042-410dfc9e86de"
}

Schritt 6: Überprüfen Sie die Zustellung Ihrer Nachrichten

Wenn das Amazon SNS-Thema eine Nachricht empfängt, wird die Nachricht durch Senden an die zwei Lambda-Funktionen mit Abonnement verbreitet. Wenn diese Funktionen die Nachricht erhalten, protokollieren sie das Ereignis in CloudWatch Protokollen. Um zu überprüfen, ob die Nachrichtenzustellung erfolgreich war, überprüfen Sie, ob die Funktionen aufgerufen wurden, und überprüfen Sie, ob die CloudWatch Protokolle aktualisiert wurden.

So überprüfen Sie, dass die Lambda-Funktionen aufgerufen wurden

  1. Öffnen Sie die AWS Lambda Konsole unter. https://console.aws.amazon.com/lambda/

  2. Wählen Sie auf der Seite Functions (Funktionen) die Option VPCE-Tutorial-Lambda-1.

  3. Wählen Sie Monitoring.

  4. Überprüfen Sie das Diagramm Invocation count (Anzahl der Aufrufe). Dieses Diagramm zeigt die Anzahl der Ausführungen der Lambda-Funktion.

    Die Anzahl der Aufrufe entspricht der Anzahl der Veröffentlichungen einer Nachricht im Thema.

    Das Diagramm der Anzahl der Aufrufe in der Lambda-Konsole.
Um zu überprüfen, ob die CloudWatch Protokolle aktualisiert wurden

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsmenü links Logs (Protokolle).

  3. Überprüfen Sie die Protokolle, die von den Lambda-Funktionen geschrieben wurden:

    1. Wählen Sie die Loggruppe/aws/lambda/VPCE-Tutorial-Lambda-1/.

    2. Wählen Sie den Protokollstream.

    3. Prüfen Sie, dass das Protokoll den Eintrag From SNS: Hello enthält.

      Das CloudWatch Protokoll enthält den Eintrag „From SNS: Hello“.

    4. Wählen Sie Log Groups (Protokollgruppen) oben auf der Konsole, um zur Seite Log Groups (Protokollgruppen) zurückzukehren. Wiederholen Sie dann die vorherigen Schritte für die Protokollgruppe/aws/lambda/VPCE-Tutorial-Lambda-2/.

Herzlichen Glückwunsch! Durch das Hinzufügen eines Endpunkts für Amazon SNS zu einer VPC konnten Sie eine Nachricht in einem Thema innerhalb des Netzwerks veröffentlichen, das von der VPC verwaltet wird. Die Nachricht wurde privat veröffentlicht, ohne im Internet veröffentlicht zu werden.

Schritt 7: Bereinigen

Sofern Sie die Ressourcen, die Sie für dieses Tutorial erstellt haben, nicht behalten möchten, können Sie sie nun löschen. Durch das Löschen von AWS Ressourcen, die Sie nicht mehr verwenden, vermeiden Sie unnötige Kosten für Ihre AWS-Konto.

Löschen Sie zuerst Ihren VPC-Endpunkt mithilfe der Amazon VPC-Konsole. Löschen Sie anschließend die anderen Ressourcen, die Sie erstellt haben, indem Sie den Stack in der CloudFormation Konsole löschen. Wenn Sie einen Stapel löschen, CloudFormation werden die Ressourcen des Stacks aus Ihrem entfernt AWS-Konto.

So löschen Sie Ihren VPC-Endpunkt

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsmenü auf der linken Seite Endpoints (Endpunkte) aus.

  3. Wählen Sie den Endpunkt aus, den Sie erstellt haben.

  4. Wählen Sie Actions (Aktionen) und anschließend Delete Endpoint (Endpunkt löschen).

  5. Wählen Sie im Fenster Delete Endpoint (Endpunkt löschen) Yes, Delete (Ja, löschen).

    Der Status des Endpunkts wird in deleting (Wird gelöscht...) geändert. Wenn der Löschvorgang abgeschlossen ist, wird der Endpunkt von der Seite entfernt.

Um deinen CloudFormation Stapel zu löschen

  1. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Wählen Sie den Stack VPCE-Tutorial-Stack aus.

  3. Wählen Sie die Option Actions (Aktionen) und anschließend Delete Stack (Stack löschen) aus.

  4. Wählen Sie im Fenster Delete Stack (Stack löschen) Yes, Delete (Ja, löschen).

    Der Stack-Status ändert sich in DELETE_IN_PROGRESS. Wenn der Löschvorgang abgeschlossen ist, wird der Stack von der Seite entfernt.

Weitere Informationen finden Sie in den folgenden Ressourcen.