Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memberikan izin Layanan Terkelola Amazon untuk Prometheus untuk mengirim pesan peringatan ke topik Amazon SNS Anda
Anda harus memberikan izin Layanan Terkelola Amazon untuk Prometheus untuk mengirim pesan ke topik Amazon SNS Anda. Pernyataan kebijakan berikut akan memberikan izin itu. Ini termasuk `Condition` pernyataan untuk membantu mencegah masalah keamanan yang dikenal sebagai masalah *wakil yang bingung*. `Condition`Pernyataan tersebut membatasi akses ke topik Amazon SNS untuk mengizinkan hanya operasi yang berasal dari akun khusus ini dan Layanan Terkelola Amazon untuk ruang kerja Prometheus. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihat[Pencegahan "confused deputy" lintas layanan](#cross-service-confused-deputy-prevention).
**Untuk memberikan izin Layanan Terkelola Amazon untuk Prometheus untuk mengirim pesan ke topik Amazon SNS Anda**
1. [Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. Di panel navigasi, pilih **Pengguna**.
1. Pilih nama topik yang Anda gunakan dengan Amazon Managed Service untuk Prometheus.
1. Pilih **Edit**.
1. Pilih **Kebijakan akses** dan tambahkan pernyataan kebijakan berikut ke kebijakan yang ada.
```
{
"Sid": "Allow_Publish_Alarms",
"Effect": "Allow",
"Principal": {
"Service": "aps.amazonaws.com"
},
"Action": [
"sns:Publish",
"sns:GetTopicAttributes"
],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "workspace_ARN"
},
"StringEquals": {
"AWS:SourceAccount": "account_id"
}
},
"Resource": "arn:aws:sns:region:account_id:topic_name"
}
```
[Opsional] Jika topik Amazon SNS Anda diaktifkan enkripsi sisi layanan (SSE), Anda harus mengizinkan Layanan Terkelola Amazon untuk Prometheus mengirim pesan ke topik terenkripsi ini dengan menambahkan `kms:GenerateDataKey*` dan `kms:Decrypt` izin ke kebijakan kunci kunci yang digunakan untuk mengenkripsi topik. AWS KMS
Misalnya, Anda dapat menambahkan yang berikut ini ke kebijakan:
```
{
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "aps.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "*"
}]
}
```
Untuk informasi selengkapnya, lihat [Izin AWS KMS untuk Topik SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse).
1. Pilih **Simpan perubahan**.
**catatan**
Secara default, Amazon SNS membuat kebijakan akses dengan kondisi aktif. `AWS:SourceOwner` Untuk informasi selengkapnya, lihat [Kebijakan Akses SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-access-policy-use-cases.html#source-account-versus-source-owner).
**catatan**
IAM mengikuti aturan pertama [kebijakan yang paling membatasi.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) Dalam topik SNS Anda, jika ada blok kebijakan yang lebih ketat daripada blok kebijakan Amazon SNS yang didokumentasikan, izin untuk kebijakan topik tidak diberikan. Untuk mengevaluasi kebijakan Anda dan mencari tahu apa yang telah diberikan, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).
## Konfigurasi topik SNS untuk wilayah keikutsertaan
Anda dapat menggunakan `aps.amazonaws.com` untuk mengonfigurasi topik Amazon SNS sama dengan Layanan Wilayah AWS Terkelola Amazon untuk ruang kerja Prometheus. Untuk menggunakan topik SNS dari non-opt-in Wilayah (seperti us-east-1) dengan Wilayah opt-in (seperti af-south-1), Anda perlu menggunakan format utama layanan Regional. Dalam prinsip layanan Regional, ganti *us-east-1* dengan non-opt-in Wilayah yang ingin Anda gunakan:**aps.*us-east-1*.amazonaws.com**.
Tabel berikut mencantumkan Wilayah keikutsertaan dan prinsip layanan Regional yang sesuai:
**Daerah Keikutsertaan dan prinsip layanan Regional mereka**
| Nama wilayah | Region | Kepala layanan regional |
| --- | --- | --- |
| Africa (Cape Town) | af-south-1 | af-selatan-1.aps.amazonaws.com |
| Asia Pasifik (Hong Kong) | ap-east-1 | ap-east-1.aps.amazonaws.com |
| Asia Pasifik (Thailand) | ap-tenggara 7 | ap-tenggara 7.aps.amazonaws.com |
| Europe (Milan) | eu-south-1 | eu-south-1.aps.amazonaws.com |
| Europe (Zurich) | eu-central-2 | eu-central-2.aps.amazonaws.com |
| Timur Tengah (UAE) | me-central-1 | saya-central-1.aps.amazonaws.com |
| Asia Pasifik (Malaysia) | ap-southeast-5 | ap-southeast-5.aps.amazonaws.com |
Untuk informasi tentang mengaktifkan Wilayah keikutsertaan, lihat [Mengelola Wilayah AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) di *Panduan Pengguna IAM* di. Referensi Umum Amazon Web
Saat mengonfigurasi topik Amazon SNS Anda untuk Wilayah keikutsertaan ini, pastikan Anda menggunakan prinsip layanan Regional yang benar untuk mengaktifkan pengiriman peringatan lintas wilayah.
## Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Layanan Terkelola Amazon untuk Prometheus ke Amazon SNS ke sumber daya. Jika Anda menggunakan kedua kunci konteks kondisi global, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Nilai `aws:SourceArn` harus ARN dari Amazon Managed Service untuk ruang kerja Prometheus.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename::123456789012:*`.
Kebijakan yang ditampilkan di [Memberikan izin Layanan Terkelola Amazon untuk Prometheus untuk mengirim pesan peringatan ke topik Amazon SNS Anda](#AMP-alertmanager-receiver-AMPpermission) menunjukkan cara Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global di Layanan Terkelola Amazon untuk Prometheus untuk mencegah masalah deputi yang membingungkan.