기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon SNS 주제에 대한 권한
<a name="sns-topic-policy"></a>

**암호화된 Amazon SNS는 지원되지 않음**  
AWS Config 는 암호화된 Amazon SNS 주제를 지원하지 않습니다.

이 주제에서는 다른 계정이 소유한 Amazon SNS 주제를 전달 AWS Config 하도록를 구성하는 방법을 설명합니다. Amazon SNS 주제에 알림을 보내는 데 필요한 권한이 있어야 AWS Config 합니다.

 AWS Config 콘솔에서 새 Amazon SNS 주제를 생성하면는 필요한 권한을 AWS Config 부여합니다. 기존 Amazon SNS 주제를 선택하는 경우 Amazon SNS 주제에 필요한 권한이 포함되어 있고 보안 모범 사례를 따르는지 확인합니다.

**지원되지 않는 교차 리전 Amazon SNS 주제**  
 AWS Config 는 현재 동일한 및 계정 AWS 리전 간 액세스만 지원합니다.

**Contents**
+ [IAM 역할을 사용할 때 Amazon SNS 주제에 필요한 권한](#required-permissions-snstopic-in-another-account)
+ [서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한](#required-permissions-snstopic-using-servicelinkedrole)
+ [Amazon SNS 주제에 대한 AWS Config 액세스 권한 부여](#granting-access-snstopic)
+ [Amazon SNS 주제 문제 해결](#troubleshooting-for-snstopic-using-servicelinkedrole)

## IAM 역할을 사용할 때 Amazon SNS 주제에 필요한 권한
<a name="required-permissions-snstopic-in-another-account"></a>

다른 계정에서 소유한 Amazon SNS 주제에 권한 정책을 연결할 수 있습니다. 다른 계정의 Amazon SNS 주제를 사용하고자 하는 경우, 기존 Amazon SNS 주제에 다음 정책을 연결해야 합니다.

```
{
  "Id": "Policy_ID",
  "Statement": [
    {
      "Sid": "AWSConfigSNSPolicy",
      "Action": [
        "sns:Publish"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:sns:{{region}}:{{account-id}}:{{myTopic}}",
      "Principal": {
        "AWS": [
          "{{account-id1}}",
          "{{account-id2}}",
          "{{account-id3}}"
        ]
      }
    }
  ]
}
```

`Resource` 키의 경우, {{account-id}}는 주제 소유자의 AWS 계정 번호입니다. {{account-id1}}, {{account-id2}} 및 {{account-id3}}의 경우 Amazon SNS 주제로 데이터를 전송할 AWS 계정 을 사용합니다. {{region}} 및 {{myTopic}}을 적절한 값으로 바꿀 수 있습니다.

가 Amazon SNS 주제에 알림을 AWS Config 보내면 먼저 IAM 역할을 사용하려고 시도하지만 역할 또는에 주제에 게시할 권한이 없는 경우이 시도 AWS 계정 는 실패합니다. 이 경우는 이번에는 AWS Config 서비스 보안 주체 이름(SPN)으로 알림을 다시 AWS Config 보냅니다. 게시가 성공하려면 먼저 주제의 액세스 정책이 `sns:Publish`에게 `config.amazonaws.com` 보안 주체 이름에 액세스할 수 있는 권한을 부여해야 합니다. IAM 역할이 주제에 게시할 권한이 없는 경우 다음 섹션에서 설명하는 액세스 정책을 Amazon SNS 주제에 연결하여 AWS Config 에게 Amazon SNS 주제에 액세스할 수 있는 권한을 부여해야 합니다.

## 서비스 연결 역할을 사용할 때 Amazon SNS 주제에 필요한 권한
<a name="required-permissions-snstopic-using-servicelinkedrole"></a>

 AWS Config 서비스 연결 역할에는 Amazon SNS 주제에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할(SLR)을 AWS Config 사용하여를 설정하면 AWS Config 가 대신 서비스 보안 주체로 AWS Config 정보를 전송합니다. Amazon SNS 주제에 정보를 전송할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 Amazon SNS 주제에 연결해야 합니다.

동일 계정 설정의 경우, Amazon SNS 주제와 SLR이 동일한 계정에 있고 Amazon SNS 정책이 SLR에게 ‘`sns:Publish`’ 권한을 부여하면 AWS Config SPN을 사용할 필요가 없습니다. 아래의 권한 정책 및 보안 모범 사례 권장 사항은 교차 계정 설정을 위한 것입니다.

## Amazon SNS 주제에 대한 AWS Config 액세스 권한 부여
<a name="granting-access-snstopic"></a>

이 정책은가 Amazon SNS 주제에 알림을 AWS Config 보내도록 허용합니다. 다른 계정에서 Amazon SNS 주제에 대한 AWS Config 액세스 권한을 부여하려면 다음 권한 정책을 연결해야 합니다.

**참고**  
보안 모범 사례로 조건에 나열된 계정에 대한 액세스를 제한하여 AWS Config 가 예상 사용자를 대신하여 리소스에 액세스하는지 확인하는 것이 좋습니다`AWS:SourceAccount`.

```
{
"Id": "Policy_ID",
"Statement": [
  {
    "Sid": "AWSConfigSNSPolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "config.amazonaws.com"
    },
    "Action": "sns:Publish",
      "Resource": "arn:aws:sns:{{region}}:{{account-id}}:{{myTopic}}",
        "Condition" : {
        "StringEquals": {
          "AWS:SourceAccount": [
            "{{account-id1}}",
            "{{account-id2}}",
            "{{account-id3}}"
          ]
        }
      }
    }
  ]
}
```

`Resource` 키의 경우, {{account-id}}는 주제 소유자의 AWS 계정 번호입니다. {{account-id1}}, {{account-id2}} 및 {{account-id3}}의 경우 Amazon SNS 주제로 데이터를 전송할 AWS 계정 을 사용합니다. {{region}} 및 {{myTopic}}을 적절한 값으로 바꿀 수 있습니다.

이전 Amazon SNS 주제 정책의 `AWS:SourceAccount` 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 AWS Config 서비스 보안 주체 이름(SPN)이 Amazon SNS 주제와만 상호 작용하도록 제한할 수 있습니다.

AWS Config 는 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때 서비스 보안 주체 이름(SPN)이 S3 버킷과만 상호 작용하도록 제한 AWS Config 하는 `AWS:SourceArn` 조건도 지원합니다. AWS Config 서비스 보안 주체 이름(SPN)을 사용하는 경우 `AWS:SourceArn` 속성은 항상 로 설정됩니다. `arn:aws:config:sourceRegion:sourceAccountID:*` 여기서 `sourceRegion`는 전송 채널의 리전이고 `sourceAccountID`는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 [전송 채널 관리를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). 예를 들어, AWS Config 서비스 보안 주체 이름(SPN)이 계정의 `us-east-1` 리전에 있는 전송 채널을 대신하여만 S3 버킷과 상호 작용하도록 제한하려면 다음 조건을 추가합니다`123456789012``"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.

## Amazon SNS 주제 문제 해결
<a name="troubleshooting-for-snstopic-using-servicelinkedrole"></a>

AWS Config 에는 Amazon SNS 주제에 알림을 보낼 수 있는 권한이 있어야 합니다. Amazon SNS 주제가 알림을 수신할 수 없는 경우 AWS Config 수임 중인 IAM 역할에 필요한 `sns:Publish` 권한이 있는지 확인합니다.