1

如何将 sns 主题策略修改为访问 us-east-1 中的 aws 检查器的权限?评估模板没有对 sns 主题的权限。我收到了这个错误:

The Inspector Account was denied access to the requested topic Grant account xxxxxxxxx permission to publish to the topic arn:aws:sns:us-east-1:xxxxxxxx:inspector

{
  "Version": "2008-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__default_statement_ID",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "SNS:GetTopicAttributes",
        "SNS:SetTopicAttributes",
        "SNS:AddPermission",
        "SNS:RemovePermission",
        "SNS:DeleteTopic",
        "SNS:Subscribe",
        "SNS:ListSubscriptionsByTopic",
        "SNS:Publish",
        "SNS:Receive"
      ],
      "Resource": "arn:aws:sns:us-east-1:xxxxxxxx:inspector",
      "Condition": {
        "StringEquals": {
          "AWS:SourceOwner": "xxxxxxxxx"
        }
      }
    }
  ]
}
4

3 回答 3

2

AWS 上的这个链接正是您需要做的:

为通知设置 SNS 主题

创建一个 SNS 主题。请参阅教程:创建 Amazon SNS 主题。创建主题时,展开访问策略 - 可选部分。然后执行以下操作以允许评估向主题发送消息:

对于选择方法,选择基本。

对于定义谁可以向主题发布消息,选择仅指定的 AWS 账户,然后输入您要在其中创建主题的区域中的账户的 ARN:

美国东部(俄亥俄州) - arn:aws:iam::646659390643:root

美国东部(弗吉尼亚北部) - arn:aws:iam::316112463485:root

美国西部(加利福尼亚北部) - arn:aws:iam::166987590008:root

美国西部(俄勒冈) - arn:aws:iam::758058086616:root

亚太地区(孟买) - arn:aws:iam::162588757376:root

亚太地区(首尔) - arn:aws:iam::526946625049:root

亚太地区(悉尼) - arn:aws:iam::454640832652:root

亚太地区(东京) - arn:aws:iam::406045910587:root

欧洲(法兰克福) - arn:aws:iam::537503971621:root

欧洲(爱尔兰) - arn:aws:iam::357557129151:root

欧洲(伦敦) - arn:aws:iam::146838936955:root

欧洲(斯德哥尔摩) - arn:aws:iam::453420244670:root

AWS GovCloud(美国东部) - arn:aws-us-gov:iam::206278770380:root

AWS GovCloud(美国西部) - arn:aws-us-gov:iam::850862329162:root

对于定义谁可以订阅此主题,选择仅指定的 AWS 账户,然后输入您要在其中创建主题的区域中的账户的 ARN。

于 2020-03-19T21:17:26.393 回答
1

将此添加到您的 SNS 访问策略中。它对我有用。

注意:我的 AWS Inspector 是在俄勒冈州配置的,因此我使用的是“arn:aws:iam::758058086616:root”

参考

我的 SNS 主题已经在俄勒冈地区。

{
  "Sid": "CustomInspectorPolicy",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::758058086616:root"
  },
  "Action": "SNS:Publish",
  "Resource": "arn:aws:sns:us-west-2:<YOUR AWS ACCOUNT NO>:<YOUR SNS TOPIC>"
}
于 2020-06-02T06:14:39.203 回答
1

我已经删除了条件块

“条件”:{“StringEquals”:{“AWS:SourceOwner”:“xxxxxxxxx”}}

现在为我工作。

于 2019-08-07T19:24:35.073 回答