Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS
<a name="AMP-alertmanager-receiver-AMPpermission"></a>

Devi autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS. La seguente dichiarazione politica fornirà tale autorizzazione. Include una `Condition` dichiarazione per aiutare a prevenire un problema di sicurezza noto come *Confused Deputy* Problem. L'`Condition`istruzione limita l'accesso all'argomento Amazon SNS per consentire solo le operazioni provenienti da questo account specifico e dall'area di lavoro del servizio gestito da Amazon per Prometheus. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del confused deputy tra servizi](#cross-service-confused-deputy-prevention).

**Per autorizzare il servizio gestito da Amazon per Prometheus a inviare messaggi al tuo argomento Amazon SNS**

1. [Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. Nel pannello di navigazione, scegli **Argomenti**.

1. Scegli il nome dell'argomento da utilizzare per il servizio gestito da Amazon per Prometheus.

1. Scegli **Modifica**.

1. Scegli **policy di accesso** e aggiungi la seguente istruzione di policy alla policy esistente.

   ```
   {
       "Sid": "Allow_Publish_Alarms",
       "Effect": "Allow",
       "Principal": {
           "Service": "aps.amazonaws.com"
       },
       "Action": [
           "sns:Publish",
           "sns:GetTopicAttributes"
       ],
       "Condition": {
           "ArnEquals": {
               "aws:SourceArn": "workspace_ARN"
           },
           "StringEquals": {
               "AWS:SourceAccount": "account_id"
           }
       },
       "Resource": "arn:aws:sns:region:account_id:topic_name"
   }
   ```

   [Facoltativo] Se il tuo argomento Amazon SNS è abilitato alla crittografia lato servizio (SSE), devi consentire ad Amazon Managed Service for Prometheus di inviare messaggi a questo argomento crittografato aggiungendo le `kms:Decrypt` autorizzazioni `kms:GenerateDataKey*` e alla politica chiave della AWS KMS chiave utilizzata per crittografare l'argomento.

   Ad esempio, puoi aggiungere quanto segue alla policy:

   ```
   {
     "Statement": [{
       "Effect": "Allow",
       "Principal": {
         "Service": "aps.amazonaws.com"
       },
       "Action": [
         "kms:GenerateDataKey*",
         "kms:Decrypt"
       ],
       "Resource": "*"
     }]
   }
   ```

   Per ulteriori informazioni, consulta [AWS Autorizzazioni KMS per argomenti SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse).

1. Scegli **Save changes** (Salva modifiche).

**Nota**  
 Per impostazione predefinita, Amazon SNS crea la policy di accesso con la condizione attiva `AWS:SourceOwner`. Per ulteriori informazioni sui punti di accesso, consulta [Policy di accesso SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-access-policy-use-cases.html#source-account-versus-source-owner) .

**Nota**  
IAM segue la prima regola della [policy più restrittiva](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). Nel tuo argomento SNS, se esiste un blocco di policy più restrittivo del blocco di policy di Amazon SNS documentato, l'autorizzazione per tale policy non viene concessa. Per valutare la tua policy e scoprire cosa è stata concessa, consulta [Logica di valutazione della policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). 

## Configurazione degli argomenti SNS per le regioni opt-in
<a name="AMP-alertmanager-sns-regional-config"></a>

Puoi usarlo `aps.amazonaws.com` per configurare un argomento Amazon SNS nello stesso Regione AWS spazio di lavoro Amazon Managed Service for Prometheus. Per utilizzare un argomento SNS di una non-opt-in regione (come us-east-1) con una regione opzionale (come af-south-1), è necessario utilizzare il formato principale del servizio regionale. Nel principio del servizio regionale, sostituisci *us-east-1* con la regione che desideri utilizzare:. non-opt-in **aps.*us-east-1*.amazonaws.com**

La tabella seguente elenca le regioni opt-in e i rispettivi principali servizi regionali:


**Regioni che aderiscono all'iniziativa e i relativi responsabili dei servizi regionali**  

| Nome Regione | Regione | Responsabile del servizio regionale | 
| --- | --- | --- | 
| Africa (Città del Capo) | af-south-1 | af-south-1.aps.amazonaws.com | 
| Asia Pacific (Hong Kong) | ap-east-1 | ap-east-1.aps.amazonaws.com | 
| Asia Pacifico (Thailandia) | ap-southeast-7 | ap-southeast-7.aps.amazonaws.com | 
| Europe (Milan) | eu-south-1 | eu-south-1.aps.amazonaws.com | 
| Europa (Zurigo) | eu-central-2 | eu-central-2.aps.amazonaws.com | 
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | me-central-1.aps.amazonaws.com | 
| Asia Pacifico (Malesia) | ap-southeast-5 | ap-southeast-5.aps.amazonaws.com | 

[https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) Riferimenti generali di Amazon Web Services

Quando configuri l'argomento di Amazon SNS per queste regioni opzionali, assicurati di utilizzare il servizio regionale principale corretto per consentire la consegna degli avvisi tra regioni.

## Prevenzione del confused deputy tra servizi
<a name="cross-service-confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Inoltre AWS, l'impersonificazione tra servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account. 

Ti consigliamo di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui il servizio gestito da Amazon per Prometheus fornisce a Amazon SNS una risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il valore di `aws:SourceArn` deve essere l'ARN dell'area di lavoro del servizio gestito da Amazon per Prometheus.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename::123456789012:*`. 

L'esempio seguente mostra in [Autorizzare Amazon Managed Service for Prometheus a inviare messaggi di avviso al tuo argomento Amazon SNS](#AMP-alertmanager-receiver-AMPpermission) mostra il modo in cui puoi utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` in Microsoft AD gestito per prevenire il problema "confused deputy".