Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen
Sie verwalten den Zugriff auf EventBridge Ressourcen wie Regeln oder Ereignisse mithilfe identitäts- oder ressourcenbasierter Richtlinien.
EventBridge Ressourcen
EventBridge Ressourcen und Unterressourcen sind mit eindeutigen Amazon-Ressourcennamen (ARNs) verknüpft. Sie verwenden ARNs in EventBridge , um Ereignismuster zu erstellen. Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARN) und AWS Service Namespaces in der. Allgemeine Amazon Web Services-Referenz
Eine Liste der Operationen EventBridge , die für die Arbeit mit Ressourcen vorgesehen sind, finden Sie unter. Referenz zu EventBridge Amazon-Berechtigungen
Anmerkung
Die meisten Dienste in AWS behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) als dasselbe Zeichen inARNs. EventBridge Verwendet jedoch eine exakte Übereinstimmung in den Ereignismustern und Regeln. Achten Sie beim Erstellen von Ereignismustern darauf, dass Sie die richtigen ARN Zeichen verwenden, damit sie der ARN Syntax des Ereignisses entsprechen, das Sie zuordnen möchten.
Die folgende Tabelle zeigt die Ressourcen in EventBridge.
| Ressourcentyp | ARNFormat |
|---|---|
|
Archiv |
|
|
Erneut abspielen |
|
|
Regel |
|
|
Event Bus |
|
|
Alle EventBridge Ressourcen |
|
|
Alle EventBridge Ressourcen, die dem angegebenen Konto in der angegebenen Region gehören |
|
Das folgende Beispiel zeigt, wie eine bestimmte Regel angegeben wird (myRule) in Ihrer Aussage unter Verwendung seinerARN.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
Wenn Sie alle Regeln angeben möchten, die zu einem bestimmten Konto gehören, verwenden Sie das Sternchen (*) wie folgt.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
Um alle Ressourcen anzugeben oder falls eine bestimmte API Aktion dies nicht unterstütztARNs, verwenden Sie das Sternchen (*) als Platzhalter im Resource Element wie folgt.
"Resource": "*"
Um mehrere Ressourcen oder PutTargets in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt ARNs durch Kommas.
"Resource": ["arn1", "arn2"]
Ressourceneigentümerschaft
Unabhängig vom Ersteller ist ein Konto Eigentümer aller innerhalb des Kontos enthaltenen Ressourcen. Der Ressourcenbesitzer ist das Konto der Prinzipalentität, der Kontostammbenutzer, ein IAM Benutzer oder eine Rolle, die die Anforderung zur Erstellung der Ressource authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn Sie die Root-Benutzeranmeldedaten Ihres Kontos verwenden, um eine Regel zu erstellen, ist Ihr Konto der Eigentümer der EventBridge Ressource.
-
Wenn Sie in Ihrem Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von EventBridge Ressourcen gewähren, kann der Benutzer EventBridge Ressourcen erstellen. Ihr Konto, zu dem der Benutzer gehört, besitzt jedoch die EventBridge Ressourcen.
-
Wenn Sie in Ihrem Konto eine IAM Rolle mit Berechtigungen zum Erstellen von EventBridge Ressourcen erstellen, kann jeder, der diese Rolle übernehmen kann, EventBridge Ressourcen erstellen. Ihr Konto, zu dem die Rolle gehört, besitzt die EventBridge Ressourcen.
Verwalten des Zugriffs auf Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
Anmerkung
In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben EventBridge. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie in der IAMRichtlinienreferenz im IAMBenutzerhandbuch.
Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (Richtlinien) bezeichnet, und IAM Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. In EventBridge können Sie sowohl identitätsbasierte (IAMRichtlinien) als auch ressourcenbasierte Richtlinien verwenden.
Themen
Identitätsbasierte Richtlinien (Richtlinien) IAM
Sie können Identitäten Richtlinien zuordnen. IAM Sie können z. B. Folgendes tun:
-
Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto an — Um einem Benutzer die Erlaubnis zu erteilen, Regeln in der CloudWatch Amazon-Konsole einzusehen, fügen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe an, zu der der Benutzer gehört.
-
Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen Konto B oder einem Dienst kontoübergreifende Berechtigungen zu gewähren: AWS
-
Der Administrator von Konto A erstellt eine IAM Rolle und fügt der Rolle, die Berechtigungen für Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.
-
Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
-
Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS Dienstprinzipal sein, der einem AWS Dienst die zur Übernahme der Rolle erforderliche Berechtigung erteilt.
Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.
-
Sie können spezielle IAM Richtlinien erstellen, um die Anrufe und Ressourcen einzuschränken, auf die Benutzer in Ihrem Konto Zugriff haben, und diese Richtlinien dann Benutzern zuordnen. Weitere Informationen zum Erstellen von IAM Rollen und Beispiele für IAM EventBridge Richtlinienerklärungen finden Sie unterVerwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen.
Ressourcenbasierte Richtlinien (Richtlinien) IAM
Wenn eine Regel ausgeführt wird EventBridge, werden alle mit der Regel verknüpften Ziele aufgerufen, was bedeutet, dass die AWS Lambda Funktionen aufgerufen, in den SNS Amazon-Themen veröffentlicht oder das Ereignis an die Amazon Kinesis-Streams weitergeleitet wird. Um die Ressourcen, die Ihnen gehören, API aufrufen zu können, EventBridge benötigen Sie die entsprechende Genehmigung. EventBridge Verwendet für Lambda-SNS, Amazon- und SQS Amazon-Ressourcen ressourcenbasierte Richtlinien. EventBridge Verwendet für Kinesis-Streams IAM Rollen.
Weitere Informationen zum Erstellen von IAM Rollen und Beispiele für EventBridge ressourcenbasierte Richtlinienerklärungen finden Sie unter. Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
EventBridge Definiert für jede EventBridge Ressource eine Reihe von API Vorgängen. EventBridge Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu gewähren. Für einige API Operationen sind Berechtigungen für mehr als eine Aktion erforderlich, um den API Vorgang auszuführen. Weitere Informationen zu Ressourcen und API Vorgängen finden Sie unter EventBridge Ressourcen undReferenz zu EventBridge Amazon-Berechtigungen.
Grundlegende Richtlinienelemente:
-
Ressource — Verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter EventBridge Ressourcen.
-
Aktion – Mit Schlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die
events:Describe-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen derDescribe-Operation. -
Effekt – Geben Sie entweder Zulassen oder Verweigern an. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie in der IAMJSONRichtlinienreferenz im IAM Benutzerhandbuch.
Informationen zu EventBridge API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterReferenz zu EventBridge Amazon-Berechtigungen.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.
Zum Festlegen von Bedingungen verwenden Sie Bedingungsschlüssel. Es gibt AWS Bedingungsschlüssel und EventBridge spezielle Schlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Schlüssel finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel für Bedingungen. Eine vollständige Liste der EventBridge spezifischen Schlüssel finden Sie unterVerwendung der IAM Versicherungsbedingungen bei Amazon EventBridge.
