decryptResult = crypto.decryptData(kmsMasterKeyProvider, encryptedByteArray);
final byte[] decryptedByteArray = decryptResult.getResult();
// Decode the event json plaintext from byte array into string with UTF_8 standard.
String eventJson = new String(decryptedByteArray, StandardCharsets.UTF_8);
```
# EventBridge Pipes-Daten mit AWS KMS Schlüsseln verschlüsseln
Sie können angeben, dass ein vom Kunden verwalteter Schlüssel EventBridge verwendet wird, um im Ruhezustand gespeicherte Pipe-Daten zu verschlüsseln, anstatt einen AWS-eigener Schlüssel AS als Standard zu verwenden. Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie eine Pipe erstellen oder aktualisieren. Weitere Informationen zu Schlüsseltypen finden Sie unter[KMS-Schlüsseloptionen](eb-encryption-at-rest-key-options.md).
Zu den Pipe-Daten, die im Ruhezustand EventBridge verschlüsselt werden, gehören:
+ [Ereignismuster](eb-event-patterns.md)
+ [Eingangstransformatoren](eb-pipes-input-transformation.md)
Ereignisse, die durch eine Leitung fließen, werden niemals im Ruhezustand gespeichert.
## EventBridge Überleitet den Verschlüsselungskontext
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet für EventBridge Pipes denselben Verschlüsselungskontext bei allen AWS KMS kryptografischen Vorgängen. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den Pipe-ARN enthält.
```
"encryptionContext": {
"kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```
EventBridge Verwendet für verkaufte Protokolle den folgenden Verschlüsselungskontext.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS wichtige Richtlinie für EventBridge Pipes
Das folgende Beispiel für eine Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für eine Pipe bereit:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der AWS KMS Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter [Sicherheitsüberlegungen](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": [
"aws:pipe:arn"
]
}
}
}
]
}
```
------
### Berechtigungen für Pipe-Logs, die Ausführungsdaten enthalten
Wenn Sie die Pipeline-Protokollierung so konfiguriert haben, dass sie Ausführungsdaten enthält, muss die Schlüsselrichtlinie die folgenden Berechtigungen für den Protokollierungsdienst enthalten:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Weitere Informationen finden Sie unter [Inklusive Ausführungsdaten in EventBridge Pipes-Protokollen](eb-pipes-logs.md#eb-pipes-logs-execution-data).
Die folgende Beispiel-Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für die Pipeline-Protokollierung bereit:
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Darüber hinaus erfordert die Pipe-Ausführungsrolle die entsprechende `kms:GenerateDataKey` Genehmigung.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/pipe-execution-role"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Die Pipe-Ausführungsrolle sollte außerdem Folgendes beinhalten:
```
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-arn",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
```
# Konfiguration der Verschlüsselung in EventBridge Pipes
Sie können den KMS-Schlüssel angeben, der verwendet werden EventBridge soll, wenn Sie eine Pipe erstellen oder aktualisieren.
## Angabe des AWS KMS Schlüssels, der für die Verschlüsselung beim Erstellen einer Pipe verwendet wird
Die Auswahl des für die Verschlüsselung verwendeten AWS KMS Schlüssels ist eine Option zum Erstellen einer Pipe. Standardmäßig wird der von AWS-eigener Schlüssel bereitgestellte Wert verwendet EventBridge.
**Um beim Erstellen einer Pipe (Konsole) einen vom Kunden verwalteten Schlüssel für die Verschlüsselung anzugeben**
+ Folgen Sie diesen Anweisungen:
[Erstellen einer Pipe](eb-pipes-create.md).
**So geben Sie beim Erstellen einer Pipe (CLI) einen vom Kunden verwalteten Schlüssel für die Verschlüsselung an**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[create-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/create-pipe.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung auf dem Event-Bus verwendet werden soll.
## Aktualisierung des AWS KMS Schlüssels, der für die Verschlüsselung auf EventBridge Pipes verwendet wird
Sie können den AWS KMS Schlüssel, der für die Verschlüsselung im Ruhezustand verwendet wird, auf einer vorhandenen Pipe aktualisieren. Dies umfasst:
+ Wechsel vom Standardschlüssel AWS-eigener Schlüssel zu einem vom Kunden verwalteten Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zum Standardschlüssel AWS-eigener Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zu einem anderen.
Wenn Sie eine Pipe so aktualisieren, dass sie einen anderen AWS KMS Schlüssel verwendet, werden alle auf der Pipe gespeicherten Daten EventBridge entschlüsselt und anschließend mit dem neuen Schlüssel verschlüsselt.
**Um den KMS-Schlüssel zu aktualisieren, der für die Verschlüsselung auf einer Pipe (Konsole) verwendet wird**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich die Option **Pipes** aus.
1. Wählen Sie die Pipe aus, die Sie aktualisieren möchten.
1. Wählen Sie auf der Seite mit den Pipebus-Details die Registerkarte **Verschlüsselung** aus.
1. Wählen Sie den KMS-Schlüssel aus EventBridge , der bei der Verschlüsselung der auf der Pipe gespeicherten Daten verwendet werden soll:
+ Wählen Sie **Verwenden AWS-eigener Schlüssel** für EventBridge , um die Daten mit einem zu verschlüsseln. AWS-eigener Schlüssel
Dies AWS-eigener Schlüssel ist ein KMS-Schlüssel, der mehrere Konten EventBridge besitzt und für die Verwendung in mehreren AWS Konten verwaltet wird. Im Allgemeinen gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl.
Dies ist die Standardeinstellung.
+ Wählen Sie **Kundenverwalteten Schlüssel verwenden** für EventBridge , um die Daten mit dem vom Kunden verwalteten Schlüssel zu verschlüsseln, den Sie angeben oder erstellen.
Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel.
1. Geben Sie einen vorhandenen, vom Kunden verwalteten Schlüssel an, oder wählen Sie **Neuen KMS-Schlüssel erstellen**.
EventBridge zeigt den Schlüsselstatus und alle Schlüsselaliase an, die dem angegebenen vom Kunden verwalteten Schlüssel zugeordnet wurden.
**So aktualisieren Sie den KMS-Schlüssel, der für die Verschlüsselung auf einer Pipe verwendet wird (CLI)**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[update-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/update-pipe.html)`, um den vom Kunden verwalteten Schlüssel anzugeben, der für EventBridge die Verschlüsselung von Pipe-Daten verwendet werden soll.
# EventBridge Archive mit AWS KMS Schlüsseln verschlüsseln
Sie können angeben, dass EventBridge Kundenverwalteter Schlüssel zum Verschlüsseln von Ereignissen, die in einem Archiv gespeichert sind, ein verwendet wird, anstatt ein AWS-eigener Schlüssel AS als Standard zu verwenden. Sie können a angeben Kundenverwalteter Schlüssel , wenn Sie ein Archiv erstellen oder aktualisieren. Weitere Informationen zu Schlüsseltypen finden Sie unter[KMS-Schlüsseloptionen](eb-encryption-at-rest-key-options.md).
Dies umfasst:
+ Im Archiv gespeicherte Ereignisse
+ Das Ereignismuster, falls vorhanden, das zum Filtern der an das Archiv gesendeten Ereignisse angegeben wurde
Dies schließt keine Archivmetadaten ein, wie z. B. die Größe des Archivs oder die Anzahl der darin enthaltenen Ereignisse.
Wenn Sie einen vom Kunden verwalteten Schlüssel für ein Archiv angeben, EventBridge verschlüsselt Ereignisse, bevor sie an das Archiv gesendet werden, und gewährleistet so die Verschlüsselung bei der Übertragung und im Ruhezustand.
## Verschlüsselungskontext für das Archiv
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet bei Ereignisarchiven bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den Event-Bus-ARN enthält.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS wichtige Richtlinie für Archive
Das folgende Beispiel für eine Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für ein Ereignisarchiv bereit:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der KMS-Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter [Sicherheitsüberlegungen](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------
# Verschlüsselung für Archive konfigurieren
Sie können den KMS-Schlüssel angeben, der verwendet werden EventBridge soll, wenn Sie ein Archiv erstellen oder aktualisieren.
## Beim Erstellen eines Archivs die Verschlüsselung angeben
Die Auswahl des für die Verschlüsselung verwendeten AWS KMS Schlüssels ist eine Option zum Erstellen eines Archivs. Standardmäßig wird der von AWS-eigener Schlüssel bereitgestellte Wert verwendet EventBridge.
**Um beim Erstellen eines Archivs eine Kundenverwalteter Schlüssel für die Verschlüsselung anzugeben (Konsole)**
+ Folgen Sie diesen Anweisungen:
[Archive erstellen](eb-archive-event.md).
**So geben Sie beim Erstellen eines Archivs eine Kundenverwalteter Schlüssel für die Verschlüsselung an (CLI)**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[create-archive](https://docs.aws.amazon.com/cli/latest/reference/events/create-archive.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung der im Archiv gespeicherten Ereignisse verwendet werden soll.
## Die Verschlüsselung in Archiven wird aktualisiert
Sie können den AWS KMS Schlüssel aktualisieren, der für die Verschlüsselung im Ruhezustand in einem vorhandenen Archiv verwendet wird. Dies umfasst:
+ Wechsel von der Standardeinstellung AWS-eigener Schlüssel zu einem Kundenverwalteter Schlüssel.
+ Wechsel von a Kundenverwalteter Schlüssel zur Standardeinstellung AWS-eigener Schlüssel.
+ Von einem Kundenverwalteter Schlüssel zum anderen wechseln.
**Um die für die Verschlüsselung KMS key verwendeten Ereignisse in einem Archiv (Konsole) zu aktualisieren**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Navigieren Sie direkt oder über den Quell-Event-Bus zum Archiv:
+ Wählen Sie im Navigationsbereich die Option **Event Buses** aus.
Wählen Sie auf der Detailseite des Event-Busses die Registerkarte **Archive** aus.
+ Wählen Sie im Navigationsbereich die Option **Archive** aus.
1. Wählen Sie das Archiv aus, das Sie aktualisieren möchten.
1. Wählen Sie auf der Seite mit den Archivdetails die Registerkarte **Verschlüsselung** aus.
1. Wählen Sie KMS key die Form aus EventBridge , die beim Verschlüsseln der im Archiv gespeicherten Ereignisse verwendet werden soll.
**Wichtig**
Wenn Sie angegeben haben, dass ein vom Kunden verwalteter Schlüssel für die Verschlüsselung des Quell-Event-Busses EventBridge verwendet wird, empfehlen wir Ihnen dringend, auch einen vom Kunden verwalteten Schlüssel für alle Archive für den Event-Bus anzugeben.
+ Wählen Sie **Verwenden AWS-eigener Schlüssel** für EventBridge , um die Daten mit einem zu verschlüsseln. AWS-eigener Schlüssel
Dies AWS-eigener Schlüssel ist eine KMS key , die mehrere Konten EventBridge besitzt und für die Verwendung in mehreren AWS Konten verwaltet wird. Generell gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl.
Dies ist die Standardeinstellung.
+ Wählen Sie **Verwenden Kundenverwalteter Schlüssel** für EventBridge , um die Daten mit dem zu verschlüsseln Kundenverwalteter Schlüssel , das Sie angeben oder erstellen.
Kundenverwaltete Schlüssel befinden sich KMS keys in Ihrem AWS Konto, das Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS keys.
1. Geben Sie ein vorhandenes an Kundenverwalteter Schlüssel, oder wählen Sie **Neues erstellen KMS key**.
EventBridge zeigt den Schlüsselstatus und alle Schlüsselaliase an, die dem angegebenen Kundenverwalteter Schlüssel Schlüssel zugeordnet wurden.
**Um die für die Verschlüsselung KMS key verwendeten Ereignisse zu aktualisieren, die in einem Archiv gespeichert sind (CLI)**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[update-archive](https://docs.aws.amazon.com/cli/latest/reference/events/update-archive.html)`, um das Kundenverwalteter Schlüssel für die Verschlüsselung der im Archiv gespeicherten Ereignisse EventBridge zu verwenden.
# Verschlüsselung der EventBridge Verbindungsautorisierung mit AWS KMS Schlüsseln
Wenn Sie eine Verbindung erstellen oder aktualisieren, können Sie Autorisierungsparameter für diese Verbindung angeben. EventBridge speichert diese Parameter dann sicher in einem geheimen Ordner AWS Secrets Manager. EventBridge Verwendet standardmäßig an, AWS-eigener Schlüssel um dieses Geheimnis zu verschlüsseln und zu entschlüsseln. Sie können angeben, dass stattdessen ein EventBridge vom Kunden verwalteter Schlüssel verwendet wird.
## AWS KMS wichtige Richtlinie für Verbindungen
Die AWS KMS Schlüsselrichtlinie muss in Ihrem Namen EventBridge die folgenden Berechtigungen gewähren:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Das folgende Richtlinienbeispiel gewährt alle AWS KMS Berechtigungen.
------
#### [ JSON ]
****
```
{
"Id": "key-policy-example",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
EventBridge Um einen vom Kunden verwalteten Schlüssel verwenden zu können, müssen Sie dem Schlüssel ein Ressourcen-Tag mit dem Schlüssel `EventBridgeApiDestinations` und dem Wert von hinzufügen`true`. Weitere Informationen zu Ressourcen-Tags finden [Sie unter Hinzufügen von Tags zu einem KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/add-tags.html) im *AWS Key Management Service Developer Guide*.
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der KMS-Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter [Sicherheitsüberlegungen](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
```
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com",
"kms:EncryptionContext:SecretARN": [
"arn:aws:secretsmanager:*:*:secret:events!connection/*"
]
},
"StringEquals": {
"kms:ResourceTag/EventBridgeApiDestinations": "true"
}
}
```
## Kontext der Verbindungsverschlüsselung
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet für Verbindungen bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den geheimen ARN enthält.
```
"encryptionContext": {
"kms:EncryptionContext:SecretARN": "secret-arn"
}
```
## Verwendung von konto- oder regionsübergreifenden, vom Kunden verwalteten Schlüsseln für Verbindungen
Sie können Benutzern oder Rollen in einem anderen AWS Konto erlauben, einen KMS-Schlüssel in Ihrem Konto zu verwenden. Der kontoübergreifende Zugriff erfordert die Berechtigung in der Schlüsselrichtlinie des KMS-Schlüssels und in einer IAM-Richtlinie im Konto des externen Benutzers.
Um einen vom Kunden verwalteten Schlüssel aus einem anderen Konto verwenden zu können, muss das Konto mit dem vom Kunden verwalteten Schlüssel die folgende Richtlinie enthalten:
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Weitere Informationen finden Sie unter [Zulassen, dass Benutzer mit anderen Konten einen KMS-Schlüssel verwenden](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) können im *AWS Key Management Service Entwicklerhandbuch*.
## Widerrufen des vom Kunden verwalteten Schlüsselzugriffs auf Verbindungen
Beachten Sie, dass beim Widerruf eines vom Kunden verwalteten Schlüssels — durch Deaktivierung, Löschung oder Rotation des Schlüssels oder Aktualisierung der Schlüsselrichtlinie — der Schlüsselwert EventBridge möglicherweise zwischengespeichert wurde, sodass dieser Schlüssel möglicherweise noch für einen kurzen Zeitraum Zugriff auf das Geheimnis einer Verbindung behält.
Um den vom Kunden verwalteten Schlüssel den Zugriff auf ein Geheimnis einer Verbindung sofort zu entziehen, müssen Sie die Verbindung deautorisieren oder löschen. Weitere Informationen erhalten Sie unter [Aufheben der Autorisierung von Verbindungen](eb-target-connection-deauthorize.md) und [Löschen von Verbindungen](eb-target-connection-delete.md).
## Deautorisierung der Verbindung aufgrund von vom Kunden verwalteten Schlüsselfehlern
EventBridge hebt die Autorisierung einer Verbindung auf, wenn beim Versuch, das geheime Verbindungsgeheimnis zu ver- oder zu entschlüsseln, die folgenden Fehler auftreten:
+ Der vom Kunden verwaltete Schlüssel wurde gelöscht.
+ Der vom Kunden verwaltete Schlüssel wurde deaktiviert.
+ Die Verbindung verfügt nicht über die erforderlichen Berechtigungen für den Zugriff auf den vom Kunden verwalteten Schlüssel.
Weitere Informationen finden Sie unter [Aufheben der Autorisierung von Verbindungen](eb-target-connection-deauthorize.md).
# Verschlüsselung für Verbindungen konfigurieren
Sie können den KMS-Schlüssel angeben EventBridge , der beim Erstellen oder Aktualisieren einer Verbindung verwendet werden soll.
## AWS KMS Schlüssel beim Erstellen von Verbindungen angeben
Die Auswahl des für die Verschlüsselung verwendeten AWS KMS Schlüssels ist beim Herstellen einer Verbindung optional. Standardmäßig EventBridge verwendet eine AWS-eigener Schlüssel.
**Um einen vom Kunden verwalteten Schlüssel für die Verschlüsselung beim Herstellen einer Verbindung anzugeben (Konsole)**
+ Folgen Sie diesen Anweisungen:
[Erstellen von Verbindungen](eb-target-connection-create.md).
**So geben Sie beim Herstellen einer Verbindung einen vom Kunden verwalteten Schlüssel für die Verschlüsselung an (CLI)**
+ Verwenden Sie beim Telefonieren die `kms-key-identifier` Option`[create-connection](https://docs.aws.amazon.com/cli/latest/reference/events/create-connection.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung des Verbindungsgeheimnisses verwendet werden soll.
## AWS KMS Schlüssel für Verbindungen aktualisieren
Sie können den KMS-Schlüssel aktualisieren, der zum Verschlüsseln einer bestehenden Verbindung verwendet wird. Dies umfasst:
+ Wechsel vom Standardschlüssel AWS-eigener Schlüssel zu einem vom Kunden verwalteten Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zum Standardschlüssel AWS-eigener Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zu einem anderen.
Wenn Sie eine Verbindung aktualisieren, sodass sie einen anderen KMS-Schlüssel verwendet, wird der geheime Schlüssel der Verbindung EventBridge entschlüsselt und anschließend mit dem neuen Schlüssel verschlüsselt. Stellen Sie sicher, dass der von Ihnen angegebene KMS-Schlüssel über die erforderlichen Berechtigungen verfügt. Weitere Informationen finden Sie unter [Richtlinie für wichtige Verbindungen](encryption-connections.md#encryption-connections-key-policy).
**Um den KMS-Schlüssel zu aktualisieren, der für die Verschlüsselung einer Verbindung (Konsole) verwendet wird**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich **Integration** und dann **Verbindungen** aus.
1. Wählen Sie die Verbindung aus, die Sie aktualisieren möchten.
1. Wählen Sie auf der Seite mit den Verbindungsdetails unter **Verschlüsselung** den KMS-Schlüssel aus, der beim Verschlüsseln des geheimen Verbindungsgeheimnisses verwendet werden EventBridge soll:
+ Wählen Sie **Verwenden AWS-eigener Schlüssel** für EventBridge , um das Geheimnis mit einem zu verschlüsseln. AWS-eigener Schlüssel
Dies AWS-eigener Schlüssel ist ein KMS-Schlüssel, der mehrere Konten EventBridge besitzt und für die Verwendung in mehreren AWS Konten verwaltet wird. Im Allgemeinen gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl.
Dies ist die Standardeinstellung.
+ **Wählen Sie einen anderen AWS KMS Schlüssel (erweitert)** aus EventBridge , um das Geheimnis mit dem vom Kunden verwalteten Schlüssel zu verschlüsseln, den Sie angeben oder erstellen.
Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS keys.
1. Geben Sie einen vorhandenen, vom Kunden verwalteten Schlüssel an, oder wählen Sie **Neuen Schlüssel erstellen KMS key**.
Stellen Sie sicher, dass der von Ihnen angegebene KMS-Schlüssel über die erforderlichen Berechtigungen verfügt. Weitere Informationen finden Sie unter [Richtlinie für wichtige Verbindungen](encryption-connections.md#encryption-connections-key-policy).
EventBridge zeigt den Schlüsselstatus und alle Schlüsselaliase an, die dem angegebenen vom Kunden verwalteten Schlüssel zugeordnet wurden.
**So aktualisieren Sie den KMS-Schlüssel, der für die Verschlüsselung einer Verbindung verwendet wird (CLI)**
+ Verwenden Sie beim Anrufen die `kms-key-identifier` Option`[update-connection](https://docs.aws.amazon.com/cli/latest/reference/events/update-connection.html)`, um den vom Kunden verwalteten Schlüssel anzugeben, der EventBridge zur Verschlüsselung des Verbindungsgeheimnisses verwendet werden soll.
# Tag-basierte Richtlinien in Amazon EventBridge
In Amazon können Sie Richtlinien verwenden EventBridge, die auf Tags basieren, um den Zugriff auf Ressourcen zu kontrollieren.
Sie könnten z. B. den Zugriff auf Ressourcen beschränken, die einen Tag mit dem Schlüssel `environment` und dem Wert `production` enthalten. Die folgende Beispielrichtlinie verweigert jeder Ressource mit diesem Tag die Fähigkeit, Tags, Regeln oder Event Buses für Ressourcen zu erstellen, zu löschen oder zu ändern, die mit `environment/production` markiert wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"events:PutRule",
"events:DescribeRule",
"events:DeleteRule",
"events:CreateEventBus",
"events:DescribeEventBus",
"events:DeleteEventBus"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "production"
}
}
}
]
}
```
------
Weitere Informationen zum Tagging finden Sie in den folgenden Abschnitten.
+ [Ressourcen in Amazon taggen EventBridge](eb-tagging.md)
+ [Zugriffssteuerung mit IAM-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)
# Amazon EventBridge und AWS Identity and Access Management
Um auf Amazon zugreifen zu AWS können EventBridge, benötigen Sie Anmeldeinformationen, mit denen Sie Ihre Anfragen authentifizieren können. Ihre Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen verfügen, z. B. für das Abrufen von Ereignisdaten aus anderen AWS Ressourcen. In den folgenden Abschnitten erfahren Sie, wie Sie [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) verwenden und wie Sie Ihre Ressourcen schützen können EventBridge , indem Sie kontrollieren, wer darauf zugreifen kann.
**Topics**
+ [Authentifizierung](#eb-authentication)
+ [Zugriffskontrolle](#eb-access-control)
+ [Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen](eb-manage-iam-access.md)
+ [Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon EventBridge](eb-use-identity-based.md)
+ [Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge](eb-use-resource-based.md)
+ [Dienstübergreifende Prävention verwirrter Stellvertreter bei Amazon EventBridge](cross-service-confused-deputy-prevention.md)
+ [Ressourcenbasierte Richtlinien für Amazon-Schemas EventBridge](eb-resource-based-schemas.md)
+ [Referenz zu EventBridge Amazon-Berechtigungen](eb-permissions-reference.md)
+ [Verwendung der IAM-Richtlinienbedingungen in Amazon EventBridge](eb-use-conditions.md)
+ [Verwenden von serviceverknüpften Rollen für EventBridge](using-service-linked-roles.md)
## Authentifizierung
Sie können mit einer der folgenden Arten von Identitäten darauf zugreifen AWS :
+ **AWS Konto-Root-Benutzer** — Wenn Sie sich für registrieren AWS, geben Sie eine E-Mail-Adresse und ein Passwort an, die mit Ihrem Konto verknüpft sind. Dies sind Ihre *Root-Anmeldeinformationen*, mit denen Sie vollständigen Zugriff auf alle Ihre AWS Ressourcen erhalten.
**Wichtig**
Aus Sicherheitsgründen empfehlen wir, die Root-Anmeldeinformationen nur zum Erstellen eines *Administrators* zu verwenden. Hierbei handelt es sich um einen *IAM-Benutzer* mit vollständigen Berechtigungen für Ihr Konto. Anschließend können Sie mit diesem Administrator weitere -Benutzer und -Rollen mit eingeschränkten Berechtigungen erstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) und [Erstellen eines Administratorbenutzers und einer Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) im *IAM-Benutzerhandbuch*.
+ **IAM-Benutzer** — Ein [IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) ist eine Identität in Ihrem Konto, die über bestimmte Berechtigungen verfügt, z. B. die Erlaubnis, Ereignisdaten an ein Ziel in zu senden. EventBridge [Sie können IAM-Anmeldeinformationen verwenden, um sich auf sicheren AWS Webseiten wie den [AWS Diskussionsforen](https://forums.aws.amazon.com/) oder dem [AWS-Managementkonsole](https://console.aws.amazon.com/)Center anzumelden.AWS Support](https://console.aws.amazon.com/support/home#/)
Außer Anmeldeinformationen können Sie [Zugriffsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) für jeden Benutzer erstellen. [Sie können diese Schlüssel verwenden, wenn Sie programmgesteuert auf AWS Dienste zugreifen, um Ihre Anfrage kryptografisch zu signieren, entweder über [einen der SDKs oder mithilfe von](https://aws.amazon.com/tools/) ().AWS Command Line InterfaceAWS CLI](https://aws.amazon.com/cli/) Wenn Sie die AWS -Tools nicht nutzen, müssen Sie die Anfrage mit *Signature Version 4* selbst signieren, einem Protokoll für die Authentifizierung eingehender API-Anfragen. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter [Signature Version 4-Signaturprozess](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) im *Allgemeine Amazon Web Services-Referenz*.
+ **IAM-Rolle** – Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine weitere IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Sie ähnelt einem *IAM-Benutzer*, ist aber nicht mit einer bestimmten Person verknüpft. Mithilfe einer IAM-Rolle können Sie temporäre Zugriffsschlüssel für den Zugriff auf AWS -Services und -Ressourcen erhalten. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:
+ **Föderierter Benutzerzugriff** — Anstatt einen Benutzer zu erstellen, können Sie Identitäten aus Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web Identity Provider (IdP) verwenden. *Diese werden als Verbundbenutzer bezeichnet.* AWS [weist einem Verbundbenutzer eine Rolle zu, wenn der Benutzer Zugriff über einen Identitätsanbieter anfordert.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) Weitere Informationen zu Verbundbenutzern finden Sie unter [Verbundbenutzer und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) im *IAM-Leitfaden*.
+ **Kontoübergreifender Zugriff** – Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem anderen Konto die Berechtigung für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. *Ein Beispiel finden Sie unter [Tutorial: AWS Kontoübergreifendes Delegieren des Zugriffs mithilfe von IAM-Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).*
+ **AWS Servicezugriff** — Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einer AWS Dienstberechtigung für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift die in einem Amazon-S3-Bucket gespeicherten Daten in einen Amazon-Redshift-Cluster laden kann. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ **Auf Amazon EC2 ausgeführte Anwendungen** — Für Amazon EC2 EC2-Anwendungen, auf die Zugriff erforderlich ist EventBridge, können Sie entweder Zugriffsschlüssel in der EC2-Instance speichern oder eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen zu verwalten. Um einer EC2-Instance eine AWS Rolle zuzuweisen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und stellt temporäre Anmeldeinformationen für Anwendungen bereit, die auf der EC2-Instance ausgeführt werden. Weitere Informationen finden Sie im Thema zum [Verwenden von Rollen für Anwendungen in Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) im *IAM-Benutzerhandbuch*.
## Zugriffskontrolle
Um EventBridge Ressourcen zu erstellen oder darauf zuzugreifen, benötigen Sie sowohl gültige Anmeldeinformationen als auch Berechtigungen. Um beispielsweise Amazon Simple Notification Service (Amazon SNS) - und Amazon Simple Queue Service (Amazon SQS) -Ziele aufzurufen AWS Lambda, benötigen Sie Berechtigungen für diese Services.
# Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen
Sie verwalten den Zugriff auf EventBridge Ressourcen wie [Regeln](eb-rules.md) oder [Ereignisse](eb-events.md) mithilfe [identitäts- oder [ressourcenbasierter](eb-use-resource-based.md)](eb-use-identity-based.md) Richtlinien.
## EventBridge Ressourcen
EventBridge Ressourcen und Unterressourcen sind mit eindeutigen Amazon-Ressourcennamen (ARNs) verknüpft. Sie verwenden ARNs in EventBridge , um Ereignismuster zu erstellen. Weitere Informationen zu ARNs finden Sie unter [Amazon Resource Names (ARN) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der. *Allgemeine Amazon Web Services-Referenz*
Eine Liste der Operationen EventBridge , die für die Arbeit mit Ressourcen vorgesehen sind, finden Sie unter. [Referenz zu EventBridge Amazon-Berechtigungen](eb-permissions-reference.md)
**Anmerkung**
Die meisten Dienste in AWS behandeln einen Doppelpunkt (`:`) oder einen Schrägstrich (`/`) als dasselbe Zeichen in ARNs. EventBridge Verwendet jedoch eine exakte Übereinstimmung in den [Ereignismustern](eb-event-patterns.md) und Regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in dem Ereignis übereinstimmen.
Die folgende Tabelle zeigt die Ressourcen in EventBridge.
| Ressourcentyp | ARN-Format |
| --- | --- |
| Archiv | `arn:aws:events:region:account:archive/archive-name` |
| Erneut abspielen | `arn:aws:events:region:account:replay/replay-name` |
| Regel | `arn:aws:events:region:account:rule/[event-bus-name]/rule-name` |
| Ereignisbus | `arn:aws:events:region:account:event-bus/event-bus-name` |
| Alle EventBridge Ressourcen | `arn:aws:events:*` |
| Alle EventBridge Ressourcen, die dem angegebenen Konto in der angegebenen Region gehören | `arn:aws:events:region:account:*` |
Das folgende Beispiel zeigt, wie Sie eine bestimmte Regel (*myRule*) in Ihrer Anweisung mithilfe ihres ARN angeben.
```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
```
Wenn Sie alle Regeln angeben möchten, die zu einem bestimmten Konto gehören, verwenden Sie das Sternchen (\$1) wie folgt.
```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
```
Um alle Ressourcen anzugeben oder falls eine bestimmte API-Aktion dies nicht unterstützt ARNs, verwenden Sie das Sternchen (\$1) als Platzhalter im `Resource` Element wie folgt.
```
"Resource": "*"
```
Um mehrere Ressourcen oder `PutTargets` in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt ARNs durch Kommas.
```
"Resource": ["arn1", "arn2"]
```
## Ressourceneigentümerschaft
Unabhängig vom Ersteller ist ein Konto Eigentümer aller innerhalb des Kontos enthaltenen Ressourcen. Der Ressourceneigentümer ist das Konto der *[Prinzipal-Entität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)*, d. h. der Root-Benutzer des Kontos, ein IAM-Benutzer oder eine IAM-Rolle, welche die Anforderung, die Ressource zu erstellen, authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie die Root-Benutzeranmeldedaten Ihres Kontos verwenden, um eine Regel zu erstellen, ist Ihr Konto der Eigentümer der EventBridge Ressource.
+ Wenn Sie in Ihrem Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von EventBridge Ressourcen gewähren, kann der Benutzer EventBridge Ressourcen erstellen. Ihr Konto, zu dem der Benutzer gehört, besitzt jedoch die EventBridge Ressourcen.
+ Wenn Sie in Ihrem Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von EventBridge Ressourcen erstellen, kann jeder, der die Rolle übernehmen kann, EventBridge Ressourcen erstellen. Ihr Konto, zu dem die Rolle gehört, besitzt die EventBridge Ressourcen.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von beschrieben. EventBridge Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der [-IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Richtlinien, die einer IAM-Identität zugeordnet sind, werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, *ressourcenbasierte* Richtlinien genannt werden. In EventBridge können Sie sowohl identitätsbasierte (IAM-Richtlinien) als auch ressourcenbasierte Richtlinien verwenden.
**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#eb-identity-based-policies)
+ [Ressourcenbasierte Richtlinien (IAM-Richtlinien)](#eb-resource-based-policies-overview)
### Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Hängen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe in Ihrem Konto** an — Um einem Benutzer die Erlaubnis zu erteilen, Regeln in der CloudWatch Amazon-Konsole einzusehen, fügen Sie eine Berechtigungsrichtlinie an einen Benutzer oder eine Gruppe an, zu der der Benutzer gehört.
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A wie folgt eine Rolle erstellen, um einem anderen Konto B oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die die Berechtigung für Ressourcen in Konto A erteilt.
1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
1. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. Der Principal in der Vertrauensrichtlinie kann auch ein AWS Dienstprinzipal sein, der einem AWS Dienst die zur Übernahme der Rolle erforderliche Berechtigung erteilt.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Sie können spezifische IAM-Richtlinien erstellen, um die Aufrufe und Ressourcen zu beschränken, auf die Benutzer in Ihrem Konto Zugriff haben, und dann diese Richtlinien den Benutzern zuweisen. Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele für EventBridge IAM-Richtlinienerklärungen finden Sie unter. [Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen](#eb-manage-iam-access)
### Ressourcenbasierte Richtlinien (IAM-Richtlinien)
Wenn eine Regel ausgeführt wird EventBridge, werden alle mit der Regel verknüpften [Ziele](eb-targets.md) aufgerufen, was bedeutet, dass die AWS Lambda Funktionen aufgerufen, in den Amazon SNS SNS-Themen veröffentlicht oder das Ereignis an die Amazon Kinesis-Streams weitergeleitet wird. Um API-Aufrufe für die Ressourcen zu tätigen, die Ihnen gehören, ist die entsprechende Berechtigung erforderlich. EventBridge EventBridge Verwendet für Lambda-, Amazon SNS- und Amazon SQS-Ressourcen ressourcenbasierte Richtlinien. EventBridge Verwendet für Kinesis-Streams IAM-Rollen.
Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele für ressourcenbasierte Richtlinienerklärungen finden Sie unter. EventBridge [Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge](eb-use-resource-based.md)
## Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
EventBridge Definiert für jede EventBridge Ressource eine Reihe von API-Vorgängen. EventBridge Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu gewähren. Einige API-Operationen erfordern Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter [EventBridge Ressourcen](#eb-arn-format) und [Referenz zu EventBridge Amazon-Berechtigungen](eb-permissions-reference.md).
Grundlegende Richtlinienelemente:
+ **Ressource** – Verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter [EventBridge Ressourcen](#eb-arn-format).
+ **Aktion** – Mit Schlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die `events:Describe`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der `Describe`-Operation.
+ **Effekt** – Geben Sie entweder **Zulassen** oder **Verweigern** an. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Informationen zu EventBridge API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter[Referenz zu EventBridge Amazon-Berechtigungen](eb-permissions-reference.md).
## Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM Benutzerhandbuch*.
Zum Festlegen von Bedingungen verwenden Sie Bedingungsschlüssel. Es gibt AWS Bedingungsschlüssel und EventBridge spezifische Schlüssel, die Sie je nach Bedarf verwenden können. Sie finden eine vollständige Liste der AWS -Schlüssel unter [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) (Verfügbare Schlüssel für Bedingungen) im *IAM User Guide* (IAM-Benutzerhandbuch). Eine vollständige Liste der EventBridge spezifischen Schlüssel finden Sie unter[Verwendung der IAM-Richtlinienbedingungen in Amazon EventBridge](eb-use-conditions.md).
# Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon EventBridge
Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an IAM-Identitäten anhängen können.
## AWS verwaltete Richtlinien für EventBridge
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. *Verwaltete* oder vordefinierte Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für EventBridge:
+ [**AmazonEventBridgeFullAccess**](#eb-full-access-policy)— Gewährt vollen Zugriff auf EventBridge, einschließlich EventBridge Pipes, EventBridge Schemas und EventBridge Scheduler.
+ [**AmazonEventBridgeReadOnlyAccess**](#eb-read-only-access-policy)— Gewährt schreibgeschützten Zugriff auf EventBridge, einschließlich EventBridge Pipes, Schemas und Scheduler. EventBridge EventBridge
## AWS verwaltete Richtlinie: AmazonEventBridgeFullAccess
Die AmazonEventBridgeFullAccess Richtlinie gewährt Berechtigungen zur Verwendung aller EventBridge Aktionen sowie die folgenden Berechtigungen:
+ `iam:CreateServiceLinkedRole`— EventBridge benötigt diese Berechtigung, um die Servicerolle in Ihrem Konto für API-Ziele zu erstellen. Diese Berechtigung gewährt nur dem IAM-Service die Berechtigung, eine Rolle in Ihrem Konto speziell für API-Ziele zu erstellen.
+ `iam:PassRole`— EventBridge benötigt diese Berechtigung, um eine Aufrufrolle zu übergeben, an die das Ziel einer Regel aufgerufen werden EventBridge soll.
+ **Secrets Manager Manager-Berechtigungen** — EventBridge erfordert diese Berechtigungen, um Geheimnisse in Ihrem Konto zu verwalten, wenn Sie Anmeldeinformationen über die Verbindungsressource angeben, um API-Ziele zu autorisieren.
Die Berechtigungen für diese Richtlinie finden Sie [ AmazonEventBridgeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien.*
## AWS verwaltete Richtlinie: AmazonEventBridgeReadOnlyAccess
Die AmazonEventBridgeReadOnlyAccess Richtlinie gewährt Berechtigungen zur Verwendung aller EventBridge Leseaktionen.
Die Berechtigungen für diese Richtlinie finden Sie [ AmazonEventBridgeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeReadOnlyAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AmazonEventBridgeApiDestinationsServiceRolePolicy
Sie können keine Verbindungen AmazonEventBridgeApiDestinationsServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die EventBridge Berechtigungen für den Zugriff auf AWS Secrets Manager Ressourcen in Ihrem Namen gewährt.
Die Berechtigungen für diese Richtlinie finden Sie [ AmazonEventBridgeApiDestinationsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeApiDestinationsServiceRolePolicy.html)in der *Referenz zu AWS verwalteten Richtlinien.*
## AWS verwaltete Richtlinien: EventBridge Schemas
[Ein Schema](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-schema.html) definiert die Struktur von Ereignissen, an die gesendet werden EventBridge. EventBridge stellt Schemas für alle Ereignisse bereit, die von AWS Diensten generiert werden. Die folgenden AWS verwalteten Richtlinien sind speziell für EventBridge Schemas verfügbar:
+ [AmazonEventBridgeSchemasFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasFullAccess.html)
Sie können die AmazonEventBridgeSchemasFullAccess Richtlinie an Ihre IAM-Identitäten anhängen.
Bietet vollen Zugriff auf Schemas. EventBridge
+ [AmazonEventBridgeSchemasReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasReadOnlyAccess.html)
Sie können die AmazonEventBridgeSchemasReadOnlyAccess Richtlinie an Ihre IAM-Identitäten anhängen.
Bietet schreibgeschützten Zugriff auf Schemas. EventBridge
+ [AmazonEventBridgeSchemasServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasServiceRolePolicy.html)
Sie können keine Verbindungen AmazonEventBridgeSchemasServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist an eine serviceverknüpfte Rolle angehängt, die EventBridge Berechtigungen für verwaltete Regeln gewährt, die durch EventBridge Schemas erstellt wurden.
## AWS verwaltete Richtlinien: Scheduler EventBridge
Amazon EventBridge Scheduler ist ein serverloser Scheduler, mit dem Sie Aufgaben von einem zentralen, verwalteten Service aus erstellen, ausführen und verwalten können. *Informationen zu AWS verwalteten Richtlinien, die speziell für EventBridge Scheduler gelten, finden Sie unter [AWS Verwaltete Richtlinien für EventBridge Scheduler im Scheduler-Benutzerhandbuch](https://docs.aws.amazon.com/scheduler/latest/UserGuide/security_iam_id-based-policies.html#security_iam_id-based-policies-managed-policies). EventBridge *
## AWS verwaltete Richtlinien: Pipes EventBridge
EventBridge Pipes verbindet Ereignisquellen mit Zielen. Pipes reduzieren den Bedarf an Fachwissen und Integrationscode bei der Entwicklung ereignisgesteuerter Architekturen. Dies trägt dazu bei, die Konsistenz der Anwendungen Ihres Unternehmens sicherzustellen. Die folgenden AWS verwalteten Richtlinien, die speziell für EventBridge Pipes gelten, sind verfügbar:
+ [AmazonEventBridgePipesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesFullAccess.html)
Sie können die AmazonEventBridgePipesFullAccess Richtlinie an Ihre IAM-Identitäten anhängen.
Bietet vollen Zugriff auf Pipes. EventBridge
**Anmerkung**
Diese Richtlinie sieht vor`iam:PassRole`: EventBridge Pipes benötigt diese Berechtigung, um eine Aufrufrolle zu übergeben, EventBridge um Pipes zu erstellen und zu starten.
+ [AmazonEventBridgePipesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesReadOnlyAccess.html)
Sie können die AmazonEventBridgePipesReadOnlyAccess Richtlinie an Ihre IAM-Identitäten anhängen.
Bietet schreibgeschützten Zugriff auf Pipes. EventBridge
+ [AmazonEventBridgePipesOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesOperatorAccess.html)
Sie können die AmazonEventBridgePipesOperatorAccess Richtlinie an Ihre IAM-Identitäten anhängen.
Bietet schreibgeschützten Zugriff und Operatorzugriff (d. h. die Möglichkeit, die Ausführung von Pipes zu beenden und zu starten) auf Pipes. EventBridge
## EventBridge Aktualisierungen der AWS verwalteten Richtlinien durch Amazon
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die EventBridge seit Beginn der Nachverfolgung dieser Änderungen durch diesen Service vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite EventBridge Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy) – Richtlinie aktualisieren | EventBridge aktualisierte Richtlinie, um den Umfang der Berechtigungen für Secrets Manager Manager-Operationen auf dasselbe Konto zu beschränken. | 29. Mai 2025 |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy) – Richtlinie aktualisieren | EventBridge aktualisierte Richtlinie zur Gewährung von AWS KMS Verschlüsselungs- und Entschlüsselungsberechtigungen über Secrets Manager. Auf diese Weise können EventBridge geheime Verbindungsressourcen mit einem neuen OAuth Tokenwert aktualisiert werden, wenn eine Aktualisierung des Zugriffstokens erforderlich ist. | 28. März 2025 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy) – Richtlinie aktualisieren | AWS GovCloud (US) Regions nur Die folgende Erlaubnis ist nicht enthalten, da sie nicht verwendet wird: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 9. Mai 2024 |
| [AmazonEventBridgeSchemasFullAccess](#eb-schemas-access-policies) – Richtlinie aktualisieren | AWS GovCloud (US) Regions nur Die folgende Erlaubnis ist nicht enthalten, da sie nicht verwendet wird: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 9. Mai 2024 |
| [AmazonEventBridgePipesFullAccess](#eb-pipes-access-policies)— Neue Richtlinie hinzugefügt | EventBridge Es wurde eine verwaltete Richtlinie für volle Rechte zur Verwendung von EventBridge Pipes hinzugefügt. | 01. Dezember 2022 |
| [AmazonEventBridgePipesReadOnlyAccess](#eb-pipes-access-policies)— Neue Richtlinie hinzugefügt | EventBridge Es wurde eine verwaltete Richtlinie für Berechtigungen zum Anzeigen von EventBridge Pipes-Informationsressourcen hinzugefügt. | 01. Dezember 2022 |
| [AmazonEventBridgePipesOperatorAccess](#eb-pipes-access-policies)— Neue Richtlinie hinzugefügt | EventBridge Es wurde eine verwaltete Richtlinie für Berechtigungen zum Anzeigen von EventBridge Pipes-Informationen sowie zum Starten und Stoppen des Betriebs von Pipes hinzugefügt. | 01. Dezember 2022 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Die Richtlinie wurde aktualisiert, sodass sie die für die Nutzung der EventBridge Pipes-Funktionen erforderlichen Berechtigungen enthält. | 01. Dezember 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Es wurden Berechtigungen hinzugefügt, die für das Anzeigen von EventBridge Pipes-Informationsressourcen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 01. Dezember 2022 |
| [CloudWatchEventsReadOnlyAccess](#eb-read-only-access-policy) – Aktualisierung auf eine bestehende Richtlinie | Passend aktualisiert AmazonEventBridgeReadOnlyAccess. | 01. Dezember 2022 |
| [CloudWatchEventsFullAccess](#eb-full-access-policy) – Aktualisierung auf eine bestehende Richtlinie | Passend aktualisiert AmazonEventBridgeFullAccess. | 01. Dezember 2022 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Die Richtlinie wurde aktualisiert und enthält nun auch die für die Verwendung von Schemas und Scheduler-Funktionen erforderlichen Berechtigungen. Die folgenden Berechtigungen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 10. November 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Es wurden Berechtigungen hinzugefügt, die für das Anzeigen von Schema- und Scheduler-Informationsressourcen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 10. November 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Es wurden die für das Anzeigen von Endpunktinformationen erforderlichen Berechtigungen hinzugefügt. Die folgenden Aktionen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 7. April 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Es wurden Berechtigungen hinzugefügt, die zum Anzeigen von Verbindungs- und API-Zielinformationen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 4. März 2021 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy) – Aktualisierung auf eine bestehende Richtlinie | EventBridge Die Richtlinie wurde aktualisiert `iam:CreateServiceLinkedRole` und umfasst nun auch die für die Verwendung von API-Zielen erforderlichen AWS Secrets Manager Berechtigungen. Die folgenden Aktionen wurden hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/eb-use-identity-based.html) | 4. März 2021 |
| EventBridge hat begonnen, Änderungen zu verfolgen | EventBridge hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 4. März 2021 |
# IAM-Rollen für das Senden von Ereignissen an Ziele in Amazon EventBridge
Um Ereignisse an Ziele weiterzuleiten, EventBridge ist eine IAM-Rolle erforderlich.
**Um eine IAM-Rolle für das Senden von Ereignissen zu erstellen EventBridge**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Um eine IAM-Rolle zu erstellen, folgen Sie den Schritten unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. Beachten Sie Folgendes, während Sie die Schritte ausführen:
+ Geben Sie unter **Rollenname** einen Namen ein, der innerhalb Ihres Kontos eindeutig ist.
+ **Wählen Sie unter Rollentyp** auswählen die Option **AWS Service Roles** und dann **Amazon** aus EventBridge. Dadurch werden EventBridge Berechtigungen zur Übernahme der Rolle erteilt.
+ Wählen **Sie unter Richtlinie anhängen** die Option aus **AmazonEventBridgeFullAccess**.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für EventBridge Aktionen und Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen. Weitere Informationen zu IAM-Richtlinien finden Sie unter [Übersicht über IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Verwalten und Erstellen von benutzerdefinierten IAM-Richtlinien finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) im *IAM-Benutzerhandbuch*.
## Berechtigungen, die für den Zugriff EventBridge auf Ziele mithilfe von IAM-Rollen erforderlich sind
EventBridge Ziele benötigen in der Regel IAM-Rollen, die die Berechtigung EventBridge zum Aufrufen des Ziels gewähren. Im Folgenden finden Sie einige Beispiele für verschiedene AWS Dienste und Ziele. Andere Benutzer können die EventBridge Konsole verwenden, um eine Regel und eine neue Rolle zu erstellen, die dann mit einer Richtlinie mit vorkonfigurierten Berechtigungen für einen bestimmten Gültigkeitsbereich erstellt wird.
Amazon SQS, Amazon SNS, Lambda, CloudWatch Logs und EventBridge Busziele verwenden keine Rollen, und Berechtigungen dafür EventBridge müssen über eine Ressourcenrichtlinie erteilt werden. API-Gateway-Ziele können entweder Ressourcenrichtlinien oder IAM-Rollen verwenden.
### API-Ziele
Wenn das Ziel ein API-Ziel ist, muss die von Ihnen angegebene Rolle eine Richtlinie mit der folgenden Aussage enthalten:
+ **Wirkung**: `Allow`
+ **Aktion:** `events:InvokeApiDestination`
+ **Ressource:** `arn:aws:events:*:*:api-destination/*`
### Kinesis-Streams
Wenn das Ziel ein Kinesis-Stream ist, muss die Rolle, die zum Senden von Ereignisdaten an dieses Ziel verwendet wird, eine Richtlinie mit der folgenden Aussage enthalten:
+ **Wirkung**: `Allow`
+ **Aktion:** `kinesis:PutRecord`
+ **Ressource:** `*`
### System-Manager-Befehle ausführen
Wenn das Ziel Systems Manager run command ist und Sie einen oder mehrere `InstanceIds` Werte für den Befehl angeben, muss die von Ihnen angegebene Rolle eine Richtlinie mit der folgenden Anweisung enthalten:
+ **Wirkung**: `Allow`
+ **Aktion:** `ssm:SendCommand`
+ **Ressourcen:** `arn:aws:ec2:us-east-1:accountId:instance/instanceIds`, `arn:aws:ssm:us-east-1:*:document/documentName`
Wenn das Ziel Systems Manager run command ist und Sie ein oder mehrere Tags für den Befehl angeben, muss die von Ihnen angegebene Rolle eine Richtlinie mit den folgenden beiden Aktionen enthalten:
+ **Wirkung**: `Allow`
+ **Aktion:** `ssm:SendCommand`
+ **Ressourcen:** `arn:aws:ec2::accountId:instance/*`
+ **Zustand:**
```
"StringEquals": {
"ec2:ResourceTag/*": [
"[[tagValues]]"
]
}
```
And:
+ **Wirkung**: `Allow`
+ **Aktion:** `ssm:SendCommand`
+ **Ressourcen:** `arn:aws:ssm:us-east-1:*:document/documentName`
### Step Functions Zustandsautomaten
Wenn es sich bei dem Ziel um eine AWS Step Functions Zustandsmaschine handelt, muss die von Ihnen angegebene Rolle eine Richtlinie mit den folgenden Eigenschaften enthalten:
+ **Wirkung**: `Allow`
+ **Aktion:** `states:StartExecution`
+ **Ressource:** `arn:aws:states:*:*:stateMachine:*`
### Amazon-ECS-Aufgaben
Wenn das Ziel eine Amazon-ECS-Aufgabe ist, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:RunTask"
],
"Resource": [
"arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
],
"Condition": {
"ArnLike": {
"ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ecs-tasks.amazonaws.com"
}
}
}
]
}
```
------
Die folgende Richtlinie ermöglicht es integrierten Zielen EventBridge , Amazon EC2 EC2-Aktionen in Ihrem Namen durchzuführen. Sie müssen den verwenden, AWS-Managementkonsole um Regeln mit integrierten Zielen zu erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TargetInvocationAccess",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:CreateSnapshot"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht EventBridge die Weiterleitung von Ereignissen an die Kinesis-Streams in Ihrem Konto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KinesisAccess",
"Effect": "Allow",
"Action": [
"kinesis:PutRecord"
],
"Resource": "*"
}
]
}
```
------
## Beispiel für eine vom Kunden verwaltete Richtlinie: Verwenden der Markierung mit Tags zum Steuern des Zugriffs auf Regeln
Das folgende Beispiel zeigt eine Benutzerrichtlinie, die Berechtigungen für EventBridge Aktionen gewährt. Diese Richtlinie funktioniert, wenn Sie die EventBridge API, AWS SDKs, oder die verwenden AWS CLI.
Sie können Benutzern Zugriff auf bestimmte EventBridge Regeln gewähren und sie gleichzeitig daran hindern, auf andere Regeln zuzugreifen. Hierzu markieren Sie beide Regelsätze mit Tags und verwenden dann IAM-Richtlinien, die auf diese Tags verweisen. Weitere Informationen zum Markieren von EventBridge Ressourcen finden Sie unter[Ressourcen in Amazon taggen EventBridge](eb-tagging.md).
Sie können einem Benutzer eine IAM-Richtlinie zuweisen, die ausschließlich den Zugriff auf Regeln mit einem bestimmten Tag zulässt. Sie wählen aus, auf welche Regeln Sie Zugriff gewähren möchten, indem Sie sie mit diesem bestimmten Tag markieren. Beispielweise gewährt die folgende Richtlinie einem Benutzer nur den Zugriff auf Regeln mit dem Wert `Prod` für den Tag-Schlüssel `Stack`.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "events:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Stack": "Prod"
}
}
}
]
}
```
Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter [Steuern des Zugriffs mithilfe von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) im *IAM-Benutzerhandbuch*.
# Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge
Wenn eine [Regel](eb-rules.md) ausgeführt wird EventBridge, werden alle mit der Regel verknüpften [Ziele](eb-targets.md) aufgerufen. Regeln können AWS Lambda Funktionen aufrufen, in Amazon SNS SNS-Themen veröffentlichen oder das Ereignis an Kinesis-Streams weiterleiten. Um API-Aufrufe für die Ressourcen zu tätigen, die Sie besitzen, sind die entsprechenden EventBridge Berechtigungen erforderlich. EventBridge Verwendet für Lambda-, Amazon SNS-, Amazon SQS- und Amazon CloudWatch Logs-Ressourcen ressourcenbasierte Richtlinien. EventBridge Verwendet für Kinesis-Streams [identitätsbasierte Richtlinien](eb-use-identity-based.md).
**Wichtig**
Geben Sie für Ziele, die ressourcenbasierte Richtlinien verwenden (Lambda, Amazon SNS, Amazon SQS und Amazon CloudWatch Logs), in der Zielkonfiguration kein a `RoleArn` an. Wenn Sie `RoleArn` für diese Zieltypen a angeben, kann die Ereigniszustellung fehlschlagen, insbesondere bei Amazon SQS- und Amazon SNS SNS-Zielen mit aktivierter AWS KMS Verschlüsselung. Verwenden Sie ressourcenbasierte Richtlinien nur für diese Ziele.
Sie verwenden die AWS CLI , um Ihren Zielen Berechtigungen hinzuzufügen. Informationen zur Installation und Konfiguration von finden Sie unter [Getting Setup with the AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html) im *AWS Command Line Interface Benutzerhandbuch*. AWS CLI
**Topics**
+ [Amazon-API-Gateway-Berechtigungen](#eb-api-gateway-permissions)
+ [CloudWatch Protokolliert Berechtigungen](#eb-cloudwatchlogs-permissions)
+ [AWS Lambda Berechtigungen](#eb-lambda-permissions)
+ [Amazon-SNS-Berechtigungen](#eb-sns-permissions)
+ [Amazon-SQS-Berechtigungen](#eb-sqs-permissions)
+ [EventBridge Einzelheiten zu Pipes](#eb-pipes-identity-diff)
## Amazon-API-Gateway-Berechtigungen
Um Ihren Amazon API Gateway Gateway-Endpunkt mithilfe einer EventBridge Regel aufzurufen, fügen Sie der Richtlinie Ihres API Gateway-Endpunkts die folgende Berechtigung hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "execute-api:Invoke",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:events:us-east-1:123456789012:rule/rule-name"
}
},
"Resource": [
"arn:aws:execute-api:us-east-1:123456789012:API-id/stage/GET/api"
]
}
]
}
```
------
## CloudWatch Protokolliert Berechtigungen
Wenn CloudWatch Logs das Ziel einer Regel ist, EventBridge erstellt Log-Streams und CloudWatch Logs speichert den Text der Ereignisse als Protokolleinträge. Damit EventBridge der Protokollstream erstellt und die Ereignisse protokolliert werden können, müssen CloudWatch Logs eine ressourcenbasierte Richtlinie enthalten, die das Schreiben in Logs EventBridge ermöglicht. CloudWatch
Wenn Sie das AWS-Managementkonsole zum Hinzufügen von CloudWatch Protokollen als Ziel einer Regel verwenden, wird die ressourcenbasierte Richtlinie automatisch erstellt. Wenn Sie das Ziel mithilfe von AWS CLI hinzufügen und die Richtlinie noch nicht vorhanden ist, müssen Sie sie erstellen.
Das folgende Beispiel für eine ressourcenbasierte Richtlinie EventBridge ermöglicht das Schreiben in alle Protokollgruppen, deren Namen mit beginnen. `/aws/events/` Wenn Sie für diese Protokolltypen eine andere Benennungsrichtlinie verwenden, passen Sie den Ressourcen-ARN entsprechend an.
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:region:account-id:log-group:/aws/events/*:*"
}
```
**Um eine Ressourcenrichtlinie für CloudWatch Logs zu erstellen, verwenden Sie den AWS CLI**
+ Geben Sie in der Eingabeaufforderung den folgenden Befehl ein.
```
aws logs put-resource-policy --policy-name EventBridgeToCWLogsPolicy \
--policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"Service":["events.amazonaws.com","delivery.logs.amazonaws.com"]},"Action":["logs:CreateLogStream","logs:PutLogEvents"],"Resource":"arn:aws:logs:region:account-id:log-group:/aws/events/*:*"}]}'
```
Weitere Informationen finden Sie [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html)im *Referenzhandbuch zur CloudWatch Logs-API*.
## AWS Lambda Berechtigungen
Um Ihre AWS Lambda Funktion mithilfe einer EventBridge Regel aufzurufen, fügen Sie der Richtlinie Ihrer Lambda-Funktion die folgende Berechtigung hinzu.
```
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:account-id:function:function-name",
"Principal": {
"Service": "events.amazonaws.com"
},
"Condition": {
"ArnLike": {
"AWS:SourceArn": "arn:aws:events:region:account-id:rule/rule-name"
}
},
"Sid": "InvokeLambdaFunction"
}
```
**Um die oben genannten Berechtigungen hinzuzufügen, die das EventBridge Aufrufen von Lambda-Funktionen mit dem AWS CLI**
+ Geben Sie in der Eingabeaufforderung den folgenden Befehl ein.
```
aws lambda add-permission --statement-id "InvokeLambdaFunction" \
--action "lambda:InvokeFunction" \
--principal "events.amazonaws.com" \
--function-name "arn:aws:lambda:region:account-id:function:function-name" \
--source-arn "arn:aws:events:region:account-id:rule/rule-name"
```
*Weitere Informationen zum Festlegen von Berechtigungen, mit denen EventBridge Lambda-Funktionen aufgerufen werden können, finden Sie unter [AddPermission](https://docs.aws.amazon.com/lambda/latest/dg/API_AddPermission.html)und [Using Lambda with Scheduled Events im AWS Lambda Developer](https://docs.aws.amazon.com/lambda/latest/dg/with-scheduled-events.html) Guide.*
## Amazon-SNS-Berechtigungen
Um die Veröffentlichung EventBridge in einem Amazon SNS SNS-Thema zu ermöglichen, verwenden Sie die `aws sns set-topic-attributes` Befehle `aws sns get-topic-attributes` und.
**Anmerkung**
Sie können `Condition` Blöcke in Amazon SNS SNS-Themenrichtlinien nicht für EventBridge verwenden.
**Um Berechtigungen hinzuzufügen, die das Veröffentlichen von EventBridge SNS-Themen ermöglichen**
1. Verwenden Sie den folgenden Befehl, um die Attribute eines SNS-Themas aufzulisten.
```
aws sns get-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name"
```
Das folgende Beispiel zeigt das Ergebnis eines neuen SNS-Themas.
```
{
"Attributes": {
"SubscriptionsConfirmed": "0",
"DisplayName": "",
"SubscriptionsDeleted": "0",
"EffectiveDeliveryPolicy": "{\"http\":{\"defaultHealthyRetryPolicy\":{\"minDelayTarget\":20,\"maxDelayTarget\":20,\"numRetries\":3,\"numMaxDelayRetries\":0,\"numNoDelayRetries\":0,\"numMinDelayRetries\":0,\"backoffFunction\":\"linear\"},\"disableSubscriptionOverrides\":false}}",
"Owner": "account-id",
"Policy": "{\"Version\":\"2012-10-17\", \"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceAccount\":\"account-id\"}}}]}",
"TopicArn": "arn:aws:sns:region:account-id:topic-name",
"SubscriptionsPending": "0"
}
}
```
1. Verwenden Sie einen [JSON-in-Zeichenfolgen-Konverter](https://tools.knowledgewalls.com/jsontostring), um die folgende Anweisung in eine Zeichenfolge zu konvertieren.
```
{
"Sid": "PublishEventsToMyTopic",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name"
}
```
Nachdem Sie die Anweisung in eine Zeichenfolge konvertiert haben, sieht sie wie im folgenden Beispiel aus.
```
{\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}
```
1. Fügen Sie die Zeichenfolge, die Sie im vorherigen Schritt erstellt haben, der `"Statement"`-Sammlung innerhalb des `"Policy"`-Attributs hinzu.
1. Verwenden Sie den Befehl `aws sns set-topic-attributes`, um die neue Richtlinie einzurichten.
```
aws sns set-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name" \
--attribute-name Policy \
--attribute-value "{\"Version\":\"2012-10-17\", \"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceAccount\":\"account-id\"}}}, {\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}]}"
```
Weitere Informationen finden Sie unter der [SetTopicAttributes](https://docs.aws.amazon.com/sns/latest/api/API_SetTopicAttributes.html)Aktion in der *Amazon Simple Notification Service API-Referenz*.
## Amazon-SQS-Berechtigungen
Verwenden Sie die Befehle und, damit eine EventBridge Regel eine Amazon SQS SQS-Warteschlange aufrufen kann. `aws sqs get-queue-attributes` `aws sqs set-queue-attributes`
Wenn die Richtlinie für die SQS-Warteschlange leer ist, müssen Sie zuerst eine Richtlinie erstellen und dann können Sie ihr die Berechtigungsanweisung hinzufügen. Eine neue SQS-Warteschlange verfügt über eine leere Richtlinie.
Wenn die SQS-Warteschlange bereits über eine Richtlinie verfügt, müssen Sie die ursprüngliche Richtlinie kopieren und sie mit einer neuen Anweisung kombinieren, um ihr die Berechtigungsanweisung hinzuzufügen.
**Um Berechtigungen hinzuzufügen, die es EventBridge Regeln ermöglichen, eine SQS-Warteschlange aufzurufen**
1. So listen Sie SQS-Warteschlangenattribute auf. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein.
```
aws sqs get-queue-attributes \
--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \
--attribute-names Policy
```
1. Fügen Sie die folgende Anweisung hinzu.
```
{
"Sid": "AWSEvents_custom-eventbus-ack-sqs-rule_dlq_sqs-rule-target",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:region:account-id:queue-name",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:events:region:account-id:rule/bus-name/rule-name"
}
}
}
```
1. Verwenden Sie einen [JSON-in-Zeichenfolgen-Konverter](https://tools.knowledgewalls.com/jsontostring), um die vorherige Anweisung in eine Zeichenfolge zu konvertieren. Nachdem Sie die Richtlinie in eine Zeichenfolge konvertiert haben, sieht sie wie folgt aus.
```
{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}
```
1. Erstellen Sie eine Datei mit dem Namen `set-queue-attributes.json` und folgendem Inhalt.
```
{
"Policy": "{\"Version\":\"2012-10-17\", \"Id\":\"arn:aws:sqs:region:account-id:queue-name/SQSDefaultPolicy\",\"Statement\":[{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}}]}"
}
```
1. Legen Sie das Richtlinienattribut fest, indem Sie die soeben erstellte `set-queue-attributes.json`-Datei als Eingabe wie im folgenden Befehl gezeigt verwenden.
```
aws sqs set-queue-attributes \
--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \
--attributes file://set-queue-attributes.json
```
Weitere Informationen finden Sie unter [Beispiele für Amazon-SQS-Richtlinien](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/SQSExamples.html) im *Entwicklerhandbuch für Amazon Simple Queue Service*.
## EventBridge Einzelheiten zu Pipes
EventBridge Pipes unterstützt keine ressourcenbasierten Richtlinien und hat auch keine APIs , die ressourcenbasierte Richtlinien unterstützen.
Wenn Sie den Pipe-Zugriff jedoch über einen Schnittstellen-VPC-Endpunkt konfigurieren, unterstützt dieser VPC-Endpunkt Ressourcenrichtlinien, mit denen Sie den Zugriff EventBridge auf Pipe verwalten können. APIs Weitere Informationen finden Sie unter [Amazon EventBridge mit Interface VPC-Endpunkten verwenden](eb-related-service-vpc.md).
# Dienstübergreifende Prävention verwirrter Stellvertreter bei Amazon EventBridge
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Bei AWS dienstübergreifendem Identitätswechsel kann das Problem des verwirrten Stellvertreters auftreten. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon einem anderen Service für die Ressource EventBridge erteilt. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken.
## Ereignisbusse
Für EventBridge Event-Bus-Regelziele `aws:SourceArn` muss der Wert von dem Regel-ARN ARN.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, EventBridge um das Problem des verwirrten Stellvertreters zu vermeiden. Dieses Beispiel dient der Verwendung in einer Rollenvertrauensrichtlinie für eine Rolle, die von einer EventBridge Regel verwendet wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:events:*:123456789012:rule/myRule"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## EventBridge Rohre
Für EventBridge Pipes `aws:SourceArn` muss der Wert von der Pipe ARN sein.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, EventBridge um das Problem des verwirrten Stellvertreters zu vermeiden. Dieses Beispiel ist für die Verwendung in einer Rollenvertrauensrichtlinie für eine Rolle vorgesehen, die von EventBridge Pipes verwendet wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "pipes.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:pipes:*:123456789012:pipe/example"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
# Ressourcenbasierte Richtlinien für Amazon-Schemas EventBridge
Die EventBridge [Schemaregistrierung](eb-schema-registry.md) unterstützt [ressourcenbasierte Richtlinien](eb-use-resource-based.md). Eine *ressourcenbasierte Richtlinie* ist eine Richtlinie, die an eine Ressource gebunden ist und nicht an eine IAM-Identität. Beispielsweise ist in Amazon Simple Storage Service (Amazon S3) eine Ressourcenrichtlinie an einen Amazon-S3-Bucket angefügt.
Weitere Informationen zu EventBridge Schemas und ressourcenbasierten Richtlinien finden Sie im Folgenden.
+ [Referenz zur REST-API von Amazon EventBridge Schemas](https://docs.aws.amazon.com/eventbridge/latest/schema-reference/what-is-eventbridge-schemas.html)
+ [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im IAM-Benutzerhandbuch
## Wird APIs für ressourcenbasierte Richtlinien unterstützt
Sie können Folgendes APIs mit ressourcenbasierten Richtlinien für die EventBridge Schemaregistrierung verwenden.
+ `DescribeRegistry`
+ `UpdateRegistry`
+ `DeleteRegistry`
+ `ListSchemas`
+ `SearchSchemas`
+ `DescribeSchema`
+ `CreateSchema`
+ `DeleteSchema`
+ `UpdateSchema`
+ `ListSchemaVersions`
+ `DeleteSchemaVersion`
+ `DescribeCodeBinding`
+ `GetCodeBindingSource`
+ `PutCodeBinding`
## Beispiel für eine Richtlinie, die einem Konto alle unterstützten Aktionen zuweist AWS
Für die EventBridge Schemaregistrierung müssen Sie immer eine ressourcenbasierte Richtlinie an eine Registrierung anhängen. Um Zugriff auf ein Schema zu gewähren, geben Sie den Schema-ARN und den Registrierungs-ARN in der Richtlinie an.
Um einem Benutzer Zugriff auf alle verfügbaren EventBridge Schemas APIs zu gewähren, verwenden Sie eine Richtlinie, die der folgenden ähnelt, und ersetzen Sie die durch die `"Principal"` Konto-ID des Kontos, dem Sie Zugriff gewähren möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:*"
],
"Principal": {
"AWS": [
"109876543210"
]
},
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
]
}
]
}
```
------
## Beispiel für eine Richtlinie, die einem Konto schreibgeschützte Aktionen gewährt AWS
Das folgende Beispiel gewährt Zugriff auf ein Konto nur für Schemas mit Schreibschutz APIs . EventBridge
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:DescribeRegistry",
"schemas:ListSchemas",
"schemas:SearchSchemas",
"schemas:DescribeSchema",
"schemas:ListSchemaVersions",
"schemas:DescribeCodeBinding",
"schemas:GetCodeBindingSource"
],
"Principal": {
"AWS": [
"109876543210"
]
},
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
]
}
]
}
```
------
## Beispielrichtlinie, die einer Organisation alle Aktionen gewährt
Sie können ressourcenbasierte Richtlinien mit der EventBridge Schemaregistrierung verwenden, um einer Organisation Zugriff zu gewähren. Weitere Informationen finden Sie im [AWS Organizations -Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Im folgenden Beispiel wird einer Organisation mit der ID `o-a1b2c3d4e5` Zugriff auf die Schemaregistrierung gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:*"
],
"Principal": "*",
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-a1b2c3d4e5"
]
}
}
}
]
}
```
------
# Referenz zu EventBridge Amazon-Berechtigungen
Um eine Aktion in einer EventBridge Richtlinie anzugeben, verwenden Sie das `events:` Präfix, gefolgt vom Namen des API-Vorgangs, wie im folgenden Beispiel gezeigt.
```
"Action": "events:PutRule"
```
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
```
"Action": ["events:action1", "events:action2"]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen wie folgt festlegen, die mit dem Wort `"Put"` beginnen.
```
"Action": "events:Put*"
```
Um alle EventBridge API-Aktionen anzugeben, verwenden Sie den `*` Platzhalter wie folgt.
```
"Action": "events:*"
```
In der folgenden Tabelle sind die EventBridge API-Operationen und die entsprechenden Aktionen aufgeführt, die Sie in einer IAM-Richtlinie angeben können.
| EventBridge API-Betrieb | Erforderliche Berechtigungen | Beschreibung |
| --- | --- | --- |
| [DeleteRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DeleteRule.html) | `events:DeleteRule` | Erforderlich zum Löschen einer Regel. |
| [DescribeEventBus](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeEventBus.html) | `events:DescribeEventBus` | Erforderlich, um Konten aufzulisten, die Ereignisse in den Ereignisbus des aktuellen Kontos schreiben dürfen. |
| [DescribeRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html) | `events:DescribeRule` | Erforderlich zum Auflisten der Details einer Regel. |
| [DisableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html) | `events:DisableRule` | Erforderlich zum Deaktivieren einer Regel. |
| [EnableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html) | `events:EnableRule` | Erforderlich zum Aktivieren einer Regel. |
| [ListRuleNamesByTarget](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html) | `events:ListRuleNamesByTarget` | Erforderlich zum Auflisten von Regeln, die mit einem Ziel verknüpft sind. |
| [ListRules](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html) | `events:ListRules` | Erforderlich zum Auflisten aller Regeln in Ihrem Konto. |
| [ListTagsForResource](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTagsForResource.html) | `events:ListTagsForResource` | Erforderlich, um alle mit einer EventBridge Ressource verknüpften Tags aufzulisten. Zurzeit können nur Regeln getaggt werden. |
| [ListTargetsByRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html) | `events:ListTargetsByRule` | Erforderlich zum Auflisten aller Ziele im Zusammenhang mit einer Regel. |
| [PutEvents](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutEvents.html) | `events:PutEvents` | Erforderlich zum Hinzufügen von benutzerspezifischen Ereignissen, die Regeln zugeordnet werden können. |
| [PutPermission](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutPermission.html) | `events:PutPermission` | Erforderlich, um einem anderen Konto die Berechtigung zum Schreiben von Ereignissen in den Standardereignisbus dieses Kontos zu erteilen. |
| [PutRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) | `events:PutRule` | Erforderlich zum Erstellen oder Aktualisieren einer Regel. |
| [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html) | `events:PutTargets` | Erforderlich zum Hinzufügen von Zielen zu einer Regel. |
| [RemovePermission](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemovePermission.html) | `events:RemovePermission` | Erforderlich, um einem anderen Konto die Berechtigungen zum Schreiben von Ereignissen in den Standardereignisbus dieses Kontos zu entziehen. |
| [RemoveTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemoveTargets.html) | `events:RemoveTargets` | Erforderlich zum Entfernen eines Ziels aus einer Regel. |
| [TestEventPattern](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_TestEventPattern.html) | `events:TestEventPattern` | Erforderlich zum Testen eines Ereignismusters für ein bestimmtes Ereignis. |
# Verwendung der IAM-Richtlinienbedingungen in Amazon EventBridge
Zum Erteilen von Berechtigungen geben Sie mithilfe der IAM-Richtliniensprache in einer Richtlinienanweisung die Bedingungen an, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt.
Eine Bedingung in einer Richtlinie besteht aus Schlüssel-Wert-Paaren. Bedingungsschlüssel unterscheiden nicht zwischen Groß- und Kleinschreibung.
Wenn Sie mehrere Bedingungen oder Schlüssel in einer einzigen Bedingung angeben, müssen alle Bedingungen und Schlüssel erfüllt sein, um eine Genehmigung EventBridge zu erteilen. Wenn Sie eine einzelne Bedingung mit mehreren Werten für einen Schlüssel angeben, wird die Genehmigung EventBridge erteilt, wenn einer der Werte erfüllt ist.
Sie können Platzhalter oder *Richtlinienvariablen* verwenden, wenn Sie Bedingungen angeben. Weitere Informationen finden Sie unter [Richtlinienvariablen](https://docs.aws.amazon.com/IAM/latest/UserGuide/policyvariables.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Angeben von Bedingungen in einer IAM-Richtliniensprache finden Sie unter [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition) im *IAM-Benutzerhandbuch*.
Standardmäßig können IAM-Benutzer und -Rollen nicht auf die [Ereignisse](eb-events.md) in Ihrem Konto zugreifen. Damit Benutzer auf Ereignisse zugreifen können, müssen sie für die `PutRule`-API-Aktion autorisiert sein. Wenn IAM-Benutzer oder -Rollen für die `events:PutRule`-Aktion autorisiert sind, können diese eine [Regel](eb-rules.md) erstellen, die mit bestimmten Ereignissen übereinstimmt. Damit die Regel jedoch nützlich ist, muss der Benutzer auch über Berechtigungen für die `events:PutTargets` Aktion verfügen, denn wenn Sie möchten, dass die Regel mehr als nur eine CloudWatch Metrik veröffentlicht, müssen Sie einer Regel auch ein [Ziel](eb-targets.md) hinzufügen.
Sie können eine Bedingung in der Richtlinienanweisung eines IAM-Benutzers oder einer IAM-Rolle bereitstellen, mit der der Benutzer oder die Rolle eine Regel erstellen kann, die nur für eine bestimmte Gruppe von Quellen und bestimmte Ereignistypen gilt. Zum Gewähren von Zugriff auf bestimmte Quellen und Ereignistypen verwenden Sie die Bedingungsschlüssel `events:source` und `events:detail-type`.
Ebenso können Sie eine Bedingung in der Richtlinienanweisung eines IAM-Benutzers oder einer IAM-Rolle bereitstellen, mit der der Benutzer oder die Rolle eine Regel erstellen kann, die nur für eine bestimmte Ressource in Ihren Konten gilt. Zum Gewähren von Zugriff auf eine bestimmte Ressource verwenden Sie den Bedingungsschlüssel `events:TargetArn`.
## EventBridge Bedingungsschlüssel
Die folgende Tabelle zeigt die Bedingungsschlüssel sowie Schlüssel- und Wertepaare, die Sie in einer Richtlinie in verwenden können EventBridge.
| Bedingungsschlüssel | Schlüssel-Wert-Paar | Bewertungstypen |
| --- | --- | --- |
| aws: SourceAccount | Das Konto, in dem die von `aws:SourceArn` angegebene Regel vorhanden ist. | Account Id, Null |
| war: SourceArn | Der ARN der Regel, die das Ereignis sendet. | ARN, Null |
| events:creatorAccount | `"events:creatorAccount":"creatorAccount"` Verwenden Sie für *creatorAccount* die Konto-ID des Kontos, das die Regel erstellt hat. Verwenden Sie diese Bedingung, um API-Aufrufe für Regeln aus einem bestimmten Konto zu autorisieren. | creatorAccount, Null |
| events:detail-type | `"events:detail-type":"detail-type "` Wo *detail-type* ist die Literalzeichenfolge für das **Detailfeld** des Ereignisses, z. B. und. `"AWS API Call via CloudTrail"` `"EC2 Instance State-change Notification"` | Detailtyp, Null |
| Ereignisse: Detail. eventTypeCode | `"events:detail.eventTypeCode":"eventTypeCode"` Für*eventTypeCode*, verwenden Sie die Literalzeichenfolge für das **Detail. eventTypeCode**Feld des Ereignisses, z. B. `"AWS_ABUSE_DOS_REPORT"` | eventTypeCode, Null |
| events:detail.service | `"events:detail.service":"service"` Für*service*, verwenden Sie die Literalzeichenfolge für das **detail.service-Feld** des Ereignisses, z. B. `"ABUSE"` | service, Null |
| events:detail.userIdentity.principalId | `"events:detail.userIdentity.principalId":"principal-id"` Verwenden Sie für *principal-id* die Literalzeichenfolge für das Feld **detail.userIdentity.PrincipalID** des Ereignisses mit einem Detailtyp wie. `"AWS API Call via CloudTrail"` `"AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName."` | Principal-ID, Null |
| Ereignisse: eventBusInvocation | `"events:eventBusInvocation":"boolean"` Verwenden Sie für true*boolean*, wenn eine Regel ein Ereignis an ein Ziel sendet, bei dem es sich um einen Event-Bus in einem anderen Konto handelt. Verwenden Sie false, wenn ein `PutEvents`-API-Aufruf verwendet wird. | eventBusInvocation, Null |
| Ereignisse: ManagedBy | Wird intern von AWS Diensten verwendet. Bei einer Regel, die von einem AWS Dienst in Ihrem Namen erstellt wurde, entspricht der Wert dem Prinzipalnamen des Dienstes, der die Regel erstellt hat. | Nicht für die Verwendung in Kundenrichtlinien vorgesehen. |
| events:source | `"events:source":"source "` Verwenden Sie *source* dies für die Literalzeichenfolge für das Quellfeld des Ereignisses, z. B. `"aws.ec2"` oder`"aws.s3"`. Weitere mögliche Werte für *source* finden Sie in [Ereignisse aus AWS Diensten](eb-events.md#eb-service-event) den Beispielereignissen unter. | Quelle, Null |
| Ereignisse: TargetArn | `"events:TargetArn":"target-arn "` Verwenden Sie zum *target-arn* Beispiel den ARN des Ziels für die Regel`"arn:aws:lambda:*:*:function:*"`. | ArrayOfARN, Null |
Richtlinienerklärungen für finden Sie EventBridge beispielsweise unter[Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen](eb-manage-iam-access.md).
**Topics**
+ [EventBridge Bedingungsschlüssel](#conditions-table)
+ [EventBridge Einzelheiten zu Rohrleitungen](#eb-pipes-condition-diff)
+ [Beispiel: Verwenden der Bedingung `creatorAccount`](#eb-events-creator-account)
+ [Beispiel: Verwenden der Bedingung `eventBusInvocation`](#eb-events-bus-invocation)
+ [Beispiel: Einschränken des Zugriffs auf eine bestimmte Quelle](#eb-events-limit-access-control)
+ [Beispiel: Definieren mehrerer Quellen, die einzeln in einem Ereignismuster verwendet werden können](#eb-events-pattern-sources)
+ [Beispiel: Sicherstellen, dass die Quelle im Ereignismuster definiert ist](#eb-source-defined-events-pattern)
+ [Beispiel: Definieren einer Liste der zulässigen Quellen in einem Ereignismuster mit mehreren Quellen](#eb-allowed-sources-events-pattern)
+ [Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.service`](#eb-limit-rule-by-service)
+ [Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.eventTypeCode`](#eb-limit-rule-by-type-code)
+ [Beispiel: Stellen Sie sicher, dass nur AWS CloudTrail Ereignisse für API-Aufrufe von einem bestimmten Ort aus zulässig `PrincipalId` sind](#eb-consume-specific-events)
+ [Beispiel: Einschränken des Zugriffs auf Ziele](#eb-limiting-access-to-targets)
## EventBridge Einzelheiten zu Rohrleitungen
EventBridge Pipes unterstützt keine zusätzlichen Bedingungsschlüssel für IAM-Richtlinien.
## Beispiel: Verwenden der Bedingung `creatorAccount`
Das folgende Beispiel für eine Richtlinienanweisung zeigt, wie die Bedingung `creatorAccount` in einer Richtlinie verwendet wird, um die Erstellung von Regeln nur zuzulassen, wenn das als `creatorAccount` angegebene Konto das Konto ist, das die Regel erstellt hat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForOwnedRules",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"events:creatorAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Beispiel: Verwenden der Bedingung `eventBusInvocation`
Der `eventBusInvocation` gibt an, ob der Aufruf von einem kontoübergreifenden Ziel oder einer `PutEvents`-API-Anfrage stammt. Der Wert ist **true**, wenn der Aufruf aus einer Regel resultiert, die ein kontoübergreifendes Ziel beinhaltet, z. B. wenn es sich bei dem Ziel um einen Event Bus in einem anderen Konto handelt. Der Wert ist **false**, wenn der Aufruf aus einer `PutEvents`-API-Anfrage resultiert. Das folgende Beispiel zeigt einen Aufruf von einem kontoübergreifenden Ziel an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountInvocationEventsOnly",
"Effect": "Allow",
"Action": "events:PutEvents",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"events:eventBusInvocation": "true"
}
}
}
]
}
```
------
## Beispiel: Einschränken des Zugriffs auf eine bestimmte Quelle
Folgende Beispielrichtlinien können einem IAM-Benutzer zugeordnet werden. Richtlinie A ermöglicht die `PutRule`-API-Aktion für alle Ereignisse, während Richtlinie B `PutRule` nur dann zulässt, wenn das Ereignismuster der erstellten Regel mit den Amazon-EC2-Ereignissen übereinstimmt.
**Richtlinie A: alle Ereignisse zulassen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEvents",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*"
}
]
}
```
------
**Richtlinie B: nur Ereignisse von Amazon EC2 zulassen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEC2Events",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": "aws.ec2"
}
}
}
]
}
```
------
`EventPattern` ist ein obligatorisches Argument für `PutRule`. Wenn der Benutzer mit Richtlinie B `PutRule` mit einem Ereignismuster wie dem folgenden aufruft, gilt daher Folgendes.
```
{
"source": [ "aws.ec2" ]
}
```
Die Regel würde erstellt werden, da die Richtlinie diese bestimmte Quelle zulässt, d. h. `"aws.ec2"`. Wenn der Benutzer mit Richtlinie B jedoch `PutRule` mit einem Ereignismuster wie dem folgenden aufruft, wird die Erstellung der Regel abgelehnt, da die Richtlinie diese bestimmte Quelle nicht zulässt, d. h. `"aws.s3"`.
```
{
"source": [ "aws.s3" ]
}
```
Im Wesentlichen darf der Benutzer mit Richtlinie B nur eine Regel erstellen, die mit den Ereignissen aus Amazon EC2 übereinstimmt, weshalb er nur Zugriff auf die Ereignisse aus Amazon EC2 erhält.
In der folgenden Tabelle finden Sie einen Vergleich von Richtlinie A und Richtlinie B.
| Ereignismuster | Zulässig durch Richtlinie A | Zulässig durch Richtlinie B |
| --- | --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja | Ja |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Ja | Nein (die Quelle aws.s3 ist nicht zulässig) |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja | Ja |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja | Keine (Quelle muss angegeben werden) |
## Beispiel: Definieren mehrerer Quellen, die einzeln in einem Ereignismuster verwendet werden können
Die folgende Richtlinie ermöglicht es einem IAM-Benutzer oder einer IAM-Rolle, eine Regel zu erstellen, deren Quelle im `EventPattern` entweder Amazon EC2 oder Amazon ECS ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsEC2OrECS",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.ec2",
"aws.ecs"
]
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja |
| {
"source": [ "aws.ecs" ]
} | Ja |
| {
"source": [ "aws.s3" ]
} | Nein |
| {
"source": [ "aws.ec2", "aws.ecs" ]
} | Nein |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | Nein |
## Beispiel: Sicherstellen, dass die Quelle im Ereignismuster definiert ist
Die folgende Richtlinie ermöglicht Benutzern nur das Erstellen von Regeln mit `EventPatterns`, die über ein Quellfeld verfügen. Mit dieser Richtlinie können IAM-Benutzer oder IAM-Rollen keine Regel mit einem `EventPattern` erstellen, das keine bestimmte Quelle angibt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecified",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja |
| {
"source": [ "aws.ecs", "aws.ec2" ]
} | Ja |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Nein |
## Beispiel: Definieren einer Liste der zulässigen Quellen in einem Ereignismuster mit mehreren Quellen
Die folgende Richtlinie ermöglicht Benutzern das Erstellen von Regeln mit `EventPatterns`, die über ein Quellfeld verfügen. Jede Quelle im Ereignismuster muss Mitglied der in der Bedingung angegebenen Liste sein. Wenn Sie die Bedingung `ForAllValues` verwenden, müssen Sie mindestens eines der Elemente in der Bedingungsliste definieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [ "aws.ec2", "aws.s3" ]
},
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Ja |
| {
"source": [ "aws.ec2", "aws.autoscaling" ]
} | Nein |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Nein |
## Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.service`
Sie können einen IAM-Benutzer oder eine IAM-Rolle zum Erstellen von Regeln nur für Ereignisse beschränken, die einen bestimmten Wert im Feld `events:details.service` aufweisen. Der Wert von `events:details.service` ist nicht unbedingt der Name eines AWS Dienstes.
Diese Richtlinienbedingung ist hilfreich, wenn Sie mit Ereignissen arbeiten AWS Health , die sich auf Sicherheit oder Missbrauch beziehen. Durch die Verwendung dieser Richtlinienbedingung können Sie den Zugriff auf diese sensiblen Warnungen auf ausschließlich diejenigen Benutzer einschränken, die diese unbedingt sehen müssen.
Beispiel: Die folgende Richtlinie ermöglicht das Erstellen von Regeln nur für Ereignisse, in denen der Wert von `events:details.service` `ABUSE` ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.service": "ABUSE"
}
}
}
]
}
```
------
## Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.eventTypeCode`
Sie können einen IAM-Benutzer oder eine IAM-Rolle zum Erstellen von Regeln nur für Ereignisse beschränken, die einen bestimmten Wert im Feld `events:details.eventTypeCode` aufweisen. Diese Richtlinienbedingung ist hilfreich, wenn Sie mit Ereignissen aus AWS Health dem Bereich Sicherheit oder Missbrauch arbeiten. Durch die Verwendung dieser Richtlinienbedingung können Sie den Zugriff auf diese sensiblen Warnungen auf ausschließlich diejenigen Benutzer einschränken, die diese unbedingt sehen müssen.
Beispiel: Die folgende Richtlinie ermöglicht das Erstellen von Regeln nur für Ereignisse, in denen der Wert von `events:details.eventTypeCode` `AWS_ABUSE_DOS_REPORT` ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT"
}
}
}
]
}
```
------
## Beispiel: Stellen Sie sicher, dass nur AWS CloudTrail Ereignisse für API-Aufrufe von einem bestimmten Ort aus zulässig `PrincipalId` sind
Alle AWS CloudTrail Ereignisse haben den PrincipalId Wert des Benutzers, der den API-Aufruf getätigt hat, im `detail.userIdentity.principalId` Pfad eines Ereignisses. Mithilfe des `events:detail.userIdentity.principalId` Bedingungsschlüssels können Sie den Zugriff von IAM-Benutzern oder -Rollen auf die CloudTrail Ereignisse auf Ereignisse beschränken, die von einem bestimmten Konto stammen.
```
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail-type": [ "AWS API Call via CloudTrail" ],
"events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
}
}
}
]
}
```
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | Nein |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
} | Ja |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ]
} | Nein |
## Beispiel: Einschränken des Zugriffs auf Ziele
Wenn ein IAM-Benutzer oder eine IAM-Rolle `events:PutTargets`-berechtigt ist, kann er oder sie im selben Konto den Regeln, auf die er oder sie zugreifen kann, beliebige Ziele hinzufügen. Die folgende Richtlinie beschränkt Benutzer darauf, Ziele nur einer bestimmten Regel hinzuzufügen: `MyRule` im Konto `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRule",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule"
}
]
}
```
------
Mit dem `events:TargetArn`-Bedingungsschlüssel legen Sie fest, welches Ziel der Regel hinzugefügt werden darf. Sie haben die Möglichkeit, Ziele nur auf Lambda-Funktionen zu beschränken (siehe folgendes Beispiel).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/rule-name",
"Condition": {
"ForAnyValue:ArnLike": {
"events:TargetArn": "arn:aws:lambda:*:*:function:*"
}
}
}
]
}
```
------
# Verwenden von serviceverknüpften Rollen für EventBridge
Amazon EventBridge verwendet AWS Identity and Access Management (IAM) [dienstbezogene Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. EventBridge Mit Diensten verknüpfte Rollen sind vordefiniert EventBridge und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle EventBridge erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. EventBridge definiert die Berechtigungen ihrer dienstbezogenen Rollen und EventBridge kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre EventBridge Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
# Verwenden von Rollen zum Erstellen von Geheimnissen für API-Ziele in EventBridge
Im folgenden Thema wird die Verwendung der ****AWSServiceRoleForAmazonEventBridgeApiDestinations****serviceverknüpften Rolle beschrieben.
## Berechtigungen für dienstverknüpfte Rollen EventBridge
EventBridge verwendet die dienstverknüpfte Rolle mit dem Namen ****AWSServiceRoleForAmazonEventBridgeApiDestinations****— Ermöglicht den Zugriff auf die Secrets Manager Secrets, die von EventBridge erstellt wurden.
Die serviceverknüpfte Rolle **AWSServiceRoleForAmazonEventBridgeApiDestinations** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `apidestinations.events.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie **AmazonEventBridgeApiDestinationsServiceRolePolicy** EventBridge ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `create, describe, update and delete secrets; get and put secret values` für `secrets created for all connections by EventBridge`
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für EventBridge
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Verbindung in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, EventBridge wird die dienstbezogene Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den EventBridge Dienst vor dem 11. Februar 2021 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, EventBridge haben Sie die **AWSServiceRoleForAmazonEventBridgeApiDestinations**Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Verbindung herstellen, EventBridge wird die serviceverknüpfte Rolle erneut für Sie erstellt.
## Bearbeitung einer serviceverknüpften Rolle für EventBridge
EventBridge erlaubt es Ihnen nicht, die **AWSServiceRoleForAmazonEventBridgeApiDestinations**dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für EventBridge
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen.
**Anmerkung**
Wenn der EventBridge Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForAmazonEventBridgeApiDestinations**(Konsole) verwendet werden**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie unter **Integrationen** die Option **API-Ziele** und dann den Tab **Verbindungen** aus.
1. Wählen Sie die Verbindung und anschließend **Löschen** aus.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForAmazonEventBridgeApiDestinations**(AWS CLI) verwendet werden**
+ Verwenden Sie den folgenden Befehl:`[delete-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/events/delete-connection.html)`.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForAmazonEventBridgeApiDestinations**(API) verwendet werden**
+ Verwenden Sie den folgenden Befehl:`[DeleteConnection](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DeleteConnection.html)`.
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForAmazonEventBridgeApiDestinations**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen EventBridge
EventBridge unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Rollen für die Schemaerkennung in Amazon verwenden EventBridge
Im folgenden Thema wird die Verwendung der ****AWSServiceRoleForSchemas****serviceverknüpften Rolle beschrieben.
## Berechtigungen für dienstverknüpfte Rollen EventBridge
EventBridge verwendet die dienstverknüpfte Rolle mit dem Namen ****AWSServiceRoleForSchemas****— Gewährt Berechtigungen für verwaltete Regeln, die durch Schemas erstellt wurden.. Amazon EventBridge
Die serviceverknüpfte Rolle **AWSServiceRoleForSchemas** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `schemas.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie ****AmazonEventBridgeSchemasServiceRolePolicy****ermöglicht es EventBridge , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `put, enable, disable, and delete rules; put and remove targets; list targets per rule` für `all managed rules created by EventBridge`
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für EventBridge
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Schemaerkennung in der AWS-Managementkonsole, der oder der AWS CLI AWS API durchführen, EventBridge wird die dienstbezogene Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den EventBridge Service vor dem 27. November 2019 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, EventBridge haben Sie die **AWSServiceRoleForSchemas**Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Schemaerkennung durchführen, EventBridge erstellt die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für EventBridge
EventBridge erlaubt es Ihnen nicht, die **AWSServiceRoleForSchemas**dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für EventBridge
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen.
**Anmerkung**
Wenn der EventBridge Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForSchemas**(Konsole) verwendet werden**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie unter **Busse** die Option **Event-Busse** und anschließend einen Event-Bus aus.
1. Wählen Sie „**Erkennung beenden**“.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForSchemas**(AWS CLI) verwendet werden**
+ Verwenden Sie den folgenden Befehl:`[delete-discoverer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/events/delete-discoverer.html)`.
**Um EventBridge Ressourcen zu löschen, die von der **AWSServiceRoleForSchemas**(API) verwendet werden**
+ Verwenden Sie den folgenden Befehl:`[DeleteDiscoverer](https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-discoverers-id-discovererid.html#DeleteDiscoverer)`.
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForSchemas**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen EventBridge
EventBridge unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Protokollieren von Amazon EventBridge API-Aufrufen mit AWS CloudTrail
Amazon EventBridge ist in einen Dienst integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem ausgeführten Aktionen bereitstellt AWS-Service. CloudTrail erfasst alle API-Aufrufe EventBridge als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der EventBridge Konsole und Codeaufrufen für die EventBridge API-Operationen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, an die die Anfrage gestellt wurde EventBridge, die IP-Adresse, von der aus die Anfrage gestellt wurde, den Zeitpunkt der Anfrage und weitere Details ermitteln.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
+ Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
CloudTrail ist in Ihrem aktiv AWS-Konto , wenn Sie das Konto erstellen, und Sie haben automatisch Zugriff auf den CloudTrail **Eventverlauf**. Der CloudTrail **Ereignisverlauf** bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Für die Anzeige des **Eventverlaufs CloudTrail** fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse in AWS-Konto den letzten 90 Tagen erstellen Sie einen Trail- oder [CloudTrailLake-Event-Datenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail Pfade**
Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle mit dem erstellten Pfade AWS-Managementkonsole sind regionsübergreifend. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Es wird empfohlen, einen Trail mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter [Erstellen eines Trails für Ihr AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/). Informationen zu Amazon-S3-Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**CloudTrail Datenspeicher für Ereignisse in Lake**
CloudTrail Mit *Lake* können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail [Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.](https://orc.apache.org/) ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in *Ereignisdatenspeichern* zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von [erweiterten Ereignisselektoren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors) auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. *Weitere Informationen zu CloudTrail Lake finden Sie unter [Arbeiten mit AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) im AWS CloudTrail Benutzerhandbuch.*
CloudTrail Für das Speichern und Abfragen von Ereignisdaten in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
## EventBridge Management-Ereignisse in CloudTrail
[Verwaltungsereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) bieten Informationen über Verwaltungsvorgänge, die an Ressourcen in Ihrem ausgeführt werden AWS-Konto. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. CloudTrail Protokolliert standardmäßig Verwaltungsereignisse.
Amazon EventBridge protokolliert alle Operationen auf der EventBridge Steuerungsebene als Verwaltungsereignisse. Eine Liste der Vorgänge auf der Amazon EventBridge Steuerungsebene, bei denen eine EventBridge Anmeldung erfolgt CloudTrail, finden Sie in der [Amazon EventBridge API-Referenz](https://docs.aws.amazon.com/eventbridge/latest/APIReference/Welcome.html).
In der folgenden Tabelle sind die EventBridge Ressourcentypen aufgeführt, für die Sie Ereignisse protokollieren können. In der Spalte **Ereignistyp (Konsole)** wird der Wert angezeigt, den Sie in der Liste **Ereignistyp** auf der CloudTrail Konsole auswählen können. In der CloudTrail Spalte „**APIs Angemeldet**“ werden die API-Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.
| Ereignistyp (Konsole) | APIs angemeldet bei CloudTrail |
| --- | --- |
| Event-Bus | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
| Regel für den Eventbus | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
| Rohr | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
## EventBridge Beispiele für Ereignisse
Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API-Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt ein CloudTrail Ereignis, das den `PutRule` Vorgang demonstriert.
```
{
"eventVersion":"1.03",
"userIdentity":{
"type":"Root",
"principalId":"123456789012",
"arn":"arn:aws:iam::123456789012:root",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2015-11-17T23:56:15Z"
}
}
},
"eventTime":"2015-11-18T00:11:28Z",
"eventSource":"events.amazonaws.com",
"eventName":"PutRule",
"awsRegion":"us-east-1",
"sourceIPAddress":"AWS Internal",
"userAgent":"AWS CloudWatch Console",
"requestParameters":{
"description":"",
"name":"cttest2",
"state":"ENABLED",
"eventPattern":"{\"source\":[\"aws.ec2\"],\"detail-type\":[\"EC2 Instance State-change Notification\"]}",
"scheduleExpression":""
},
"responseElements":{
"ruleArn":"arn:aws:events:us-east-1:123456789012:rule/cttest2"
},
"requestID":"e9caf887-8d88-11e5-a331-3332aa445952",
"eventID":"49d14f36-6450-44a5-a501-b0fdcdfaeb98",
"eventType":"AwsApiCall",
"apiVersion":"2015-10-07",
"recipientAccountId":"123456789012"
}
```
Informationen zu CloudTrail Datensatzinhalten finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [CloudTrailDatensatzinhalt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
## CloudTrail Protokolleinträge für Aktionen, die von EventBridge Pipes ausgeführt wurden
EventBridge Pipes übernimmt die bereitgestellte IAM-Rolle beim Lesen von Ereignissen aus Quellen, beim Aufrufen von Anreicherungen oder beim Aufrufen von Zielen. Bei CloudTrail Einträgen, die sich auf Aktionen beziehen, die in Ihrem Konto für alle Erweiterungen, Ziele und Amazon SQS-, Kinesis- und DynamoDB-Quellen durchgeführt wurden, enthalten die `sourceIPAddress` Felder und. `invokedBy` `pipes.amazonaws.com`
** CloudTrail Beispielprotokolleintrag für alle Anreicherungen, Ziele und Amazon SQS-, Kinesis- und DynamoDB-Quellen**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "...",
"arn": "arn:aws:sts::111222333444:assumed-role/...",
"accountId": "111222333444",
"accessKeyId": "...",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "...",
"arn": "...",
"accountId": "111222333444",
"userName": "userName"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-09-22T21:41:15Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "pipes.amazonaws.com"
},
"eventTime": ",,,",
"eventName": "...",
"awsRegion": "us-west-2",
"sourceIPAddress": "pipes.amazonaws.com",
"userAgent": "pipes.amazonaws.com",
"requestParameters": {
...
},
"responseElements": null,
"requestID": "...",
"eventID": "...",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "...",
"eventCategory": "Management"
}
```
Für alle anderen Quellen hat das `sourceIPAddress` Feld mit den CloudTrail Protokolleinträgen eine dynamische IP-Adresse und sollte nicht als Grundlage für Integrationen oder Ereigniskategorisierungen verwendet werden. Außerdem enthalten diese Einträge das `invokedBy`-Feld nicht.
**Beispiel für einen CloudTrail Protokolleintrag für alle anderen Quellen**
```
{
"eventVersion": "1.08",
"userIdentity": {
...
},
"eventTime": ",,,",
"eventName": "...",
"awsRegion": "us-west-2",
"sourceIPAddress": "127.0.0.1",
"userAgent": "Python-httplib2/0.8 (gzip)",
}
```
# Überprüfung der Einhaltung der Vorschriften bei Amazon EventBridge
Externe Prüfer wie SOC, PCI, FedRAMP und HIPAA bewerten die Sicherheit und Konformität von AWS Diensten im Rahmen mehrerer Compliance-Programme. AWS
Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte in AWS Artifact herunterladen Berichte in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung EventBridge hängt von der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen zu ](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) zu Sicherheit und Compliance — Überlegungen zur Architektur und Schritte für die Einrichtung sicherheits- und Compliance-orientierter Basisumgebungen. AWS
+ [Whitepaper „Architecting for HIPAA Security and Compliance](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)“ — So können Unternehmen HIPAA-konforme Anwendungen entwickeln. AWS
+ [AWS Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/) — Eine Sammlung von Arbeitsmappen und Leitfäden.
+ [Bewerten von Ressourcen mit Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config -Entwicklerhandbuch* – Informationen dazu, wie AWS Config bewertet, zu welchem Grad die Konfiguration Ihrer Ressourcen den internen Vorgehensweisen, Branchenrichtlinien und Vorschriften entspricht.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ein umfassender Überblick über Ihren Sicherheitsstatus, anhand dessen Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# EventBridge Widerstandsfähigkeit von Amazon
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Infrastruktursicherheit bei Amazon EventBridge
Als verwalteter Service EventBridge ist Amazon durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff EventBridge über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen und [ressourcenbasierte Zugriffsrichtlinien](eb-use-resource-based.md) verwenden EventBridge, zu denen auch Einschränkungen auf der Grundlage der Quell-IP-Adresse gehören können. Sie können auch EventBridge Richtlinien verwenden, um den Zugriff von bestimmten Amazon Virtual Private Cloud (Amazon VPC) -Endpunkten oder bestimmten zu kontrollieren. VPCs Dadurch wird der Netzwerkzugriff auf eine bestimmte EventBridge Ressource effektiv nur von der spezifischen VPC innerhalb des AWS Netzwerks isoliert.
# Konfiguration und Schwachstellenanalyse in Amazon EventBridge
Konfiguration und IT-Steuerung liegen in der gemeinsamen Verantwortung AWS von Ihnen, unserem Kunden. Weitere Informationen finden Sie im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).