AWSSupport-DeploySESSendingLogsToCloudWatchLogs - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-DeploySESSendingLogsToCloudWatchLogs

Description

Le manuel AWSSupport-DeploySESSendingLogsToCloudWatchLogs d'automatisation permet de configurer l'infrastructure requise pour la publication d'événements Amazon Simple Email Service (Amazon SES) sur CloudWatch Amazon Logs CloudWatch (Logs). Ce runbook définit les composants nécessaires pour capturer les événements d'envoi d'e-mails et les stocker dans des CloudWatch journaux à des fins de surveillance et d'analyse. Pour plus d'informations sur la publication d'événements Amazon SES, consultez Surveiller l'envoi d'e-mails à l'aide de la publication d'événements Amazon SES.

Lorsque le ApproveDeployAnalyticEnvironment paramètre est défini surapprove, ce runbook crée de nouvelles AWS ressources dans votre AWS compte. La CloudFormation pile est automatiquement supprimée après la durée spécifiée dans le SleepTime paramètre, sauf si elle est définie sur0.

Fonctionnement

Ce runbook exécute les actions suivantes :

  • Répertorie les ensembles de configuration existants dont les destinations d'événements sont configurées pour les sujets ou les flux de diffusion Amazon Simple Notification Service (Amazon SNS).

  • Crée l'infrastructure requise pour la publication d'événements Amazon SES dans CloudWatch Logs lorsque le ApproveDeployAnalyticEnvironment paramètre est défini surapprove.

Lorsque le ApproveDeployAnalyticEnvironment paramètre est défini surapprove, le runbook crée les ressources suivantes :

  • Une CloudFormation pile nommée AWSSupport-SESSendingLogsToCloudWatchLogs qui inclut :

    • Rubrique Amazon SNS avec chiffrement AWS Key Management Service ()AWS KMS

    • File d'attente Amazon Simple Queue Service (Amazon SQS)

    • AWS Lambda fonction de traitement des événements d'envoi d'e-mails

    • Gestion des identités et des accès AWS rôle d'exécution (IAM) avec autorisations pour Amazon CloudWatch SQS et Logs

    • CloudWatch Logs, groupe de journaux

    • AWS KMS clé de chiffrement

    • Configuration Amazon SES définie avec les destinations des événements

  • L'infrastructure traite les événements d'envoi d'e-mails dans le flux suivant : Amazon SES Email Sending Events → Amazon SES Configuration Set → Rubrique Amazon SNS → Amazon SQS Queue → Fonction Lambda → Logs CloudWatch

  • Associe le jeu de configuration créé en tant que jeu de configuration par défaut pour une identité Amazon SES spécifiée lorsque le SesIdentity paramètre est fourni.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

/

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackEvents

  • cloudformation:DescribeStacks

  • iam:CreateRole

  • iam:AttachRolePolicy

  • iam:PassRole

  • kms:CreateKey

  • kms:CreateAlias

  • lambda:CreateFunction

  • lambda:AddPermission

  • logs:CreateLogGroup

  • logs:PutRetentionPolicy

  • ses:CreateConfigurationSet

  • ses:CreateConfigurationSetEventDestination

  • ses:ListConfigurationSets

  • ses:PutEmailIdentityConfigurationSetAttributes

  • sns:CreateTopic

  • sns:Subscribe

  • sqs:CreateQueue

  • sqs:SetQueueAttributes

  • ssm:DescribeAutomationExecutions

Exemple de politique : 

{
       "Version": "2012-10-17",
       "Statement": [
           {
           "Effect": "Allow",
           "Action": [
               "cloudformation:CreateStack",
               "cloudformation:DeleteStack",
               "cloudformation:DescribeStackEvents",
               "cloudformation:DescribeStacks",
               "iam:CreateRole",
               "iam:AttachRolePolicy",
               "iam:PassRole",
               "kms:CreateKey",
               "kms:CreateAlias",
               "lambda:CreateFunction",
               "lambda:AddPermission",
               "logs:CreateLogGroup",
               "logs:PutRetentionPolicy",
               "ses:CreateConfigurationSet",
               "ses:CreateConfigurationSetEventDestination",
               "ses:ListConfigurationSets",
               "ses:PutEmailIdentityConfigurationSetAttributes",
               "sns:CreateTopic",
               "sns:Subscribe",
               "sqs:CreateQueue",
               "sqs:SetQueueAttributes",
               "ssm:DescribeAutomationExecutions"
           ],
           "Resource": "*"
           }
       ]
       }

Instructions

Pour configurer l'automatisation, procédez comme suit :

  1. Accédez AWSSupport-DeploySESSendingLogsToCloudWatchLogsà Systems Manager sous Documents.

  2. Sélectionnez Execute automation (Exécuter l'automatisation).

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      • Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle IAM qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

      • Type : AWS::IAM::Role::Arn

    • ApproveDeployAnalyticEnvironment (Facultatif) :

      • Description : (Facultatif) Approbation du déploiement de l'infrastructure de publication d'événements Amazon SES. Entrez approve pour créer la CloudFormation pile et les ressources associées. S'il est laissé vide, le runbook affiche uniquement les ensembles de configuration existants ou les destinations des événements Amazon SNS dans la région actuelle.

      • Type : String

      • Autoriser le modèle : ^$|^approve$

      • Valeur par défaut : ""

    • SesIdentity (Facultatif) :

      • Description : (Facultatif) Identité Amazon SES (adresse e-mail ou domaine) à associer au nouveau jeu de configuration en tant que jeu de configuration par défaut. Cela remplacera toute configuration par défaut existante définie pour l'identité spécifiée.

      • Type : String

      • Valeur par défaut : ""

    • CloudWatchLogGroupName (Facultatif) :

      • Description : (Facultatif) Nom du groupe de CloudWatch journaux à créer pour stocker les événements d'envoi d'e-mails Amazon SES.

      • Type : String

      • Autoriser le modèle : ^[0-9a-zA-Z_.#/\\-]{1,512}$

      • Valeur par défaut : /ses/sending_event_logs

    • Masque PIIData (facultatif) :

      • Description : (Facultatif) Spécifiez si vous souhaitez masquer les données d'identification personnelle (PII) telles que les adresses e-mail de destination et les sujets des e-mails dans les CloudWatch journaux. Définissez cette False valeur pour inclure ces informations dans les journaux.

      • Type : String

      • Valeurs autorisées : [True, False]

      • Valeur par défaut : True

    • SleepTime (Facultatif) :

      • Description : (Facultatif) Nombre de minutes à attendre avant de supprimer automatiquement la CloudFormation pile. La valeur par défaut est de 24 heures (1 440 minutes), le maximum est de 7 jours (10 080 minutes). Réglez sur 0 pour empêcher la suppression automatique.

      • Type : String

      • Autoriser le modèle : ^(?:[0-9]|[1-9]\\d{1,3}|100[0-7][0-9])$

      • Valeur par défaut : 1440

    • RetainCloudWatchLogsOnDeletion (Facultatif) :

      • Description : (Facultatif) Spécifiez si le groupe de CloudWatch journaux doit être conservé lorsque la CloudFormation pile est supprimée. Définissez sur False pour supprimer le groupe de journaux ainsi que la pile.

      • Type : String

      • Valeurs autorisées : [True, False]

      • Valeur par défaut : True

    • UniqueId (Facultatif) :

      • Description : (Facultatif) identifiant unique du flux de travail.

      • Type : String

      • Autoriser le modèle : \\{\\{ automation:EXECUTION_ID \\}\\}|[a-zA-Z0-9-]+

      • Valeur par défaut : {{ automation:EXECUTION_ID }}

      • Nombre maximum de caractères : 64

  4. Sélectionnez Exécuter.

  5. L'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • BranchOnValueOfParameterApproveDeployAnalyticEnvironment

      Détermine s'il faut déployer l'infrastructure de publication d'événements Amazon SES en fonction de la valeur du ApproveDeployAnalyticEnvironment paramètre.

    • GetEligibleConfigurationSets

      Récupère les ensembles de configuration Amazon SES existants et identifie ceux dont les destinations d'événements sont configurées pour les flux de diffusion ou les rubriques Amazon SNS.

    • CheckConcurrency

      Vérifie qu'aucune pile existante n'existe et qu'aucune autre exécution simultanée de ce runbook ne crée la même pile.

    • DeploySesEventDestinations

      Crée la CloudFormation pile contenant l'infrastructure de publication d'événements Amazon SES, notamment la rubrique Amazon SNS, la file d'attente Amazon SQS, la fonction Lambda et le groupe de journaux Logs. CloudWatch

    • RelateConfigurationSetAsDefaultConfigurationSet

      Associe le nouveau jeu de configuration Amazon SES en tant que jeu de configuration par défaut pour l'identité Amazon SES spécifiée (si elle est fournie).

    • SleepBeforeDeleteCloudFormationStack

      Attend la durée spécifiée dans le SleepTime paramètre avant de procéder à la suppression de la CloudFormation pile.

    • DeleteCloudFormationStack

      Supprime la CloudFormation pile après la période spécifiée.

  7. Une fois l'exécution terminée, consultez la section Sorties pour connaître les résultats détaillés de l'exécution.

Références

Systems Manager Automation