Administración de permisos de acceso para los recursos de Amazon EventBridge
Usted administra el acceso a los recursos de EventBridge como reglas o eventos utilizando políticas basadas en identidades o basadas en recursos.
Recursos de EventBridge
Los recursos y los subrecursos de EventBridge tienen nombres de recurso de Amazon (ARN) únicos asociados a ellos. Los ARN se utilizan en EventBridge para crear patrones de eventos. Para obtener más información sobre los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS en la Referencia general de Amazon Web Services.
Para obtener una lista de las operaciones que EventBridge proporciona para trabajar con recursos, consulte Referencia de permisos de Amazon EventBridge.
nota
La mayoría de los servicios de AWS tratan el carácter de dos puntos (:) o la barra diagonal (/) como el mismo carácter en los ARN. Sin embargo, EventBridge utiliza una coincidencia exacta en las reglas y los patrones de eventos. Asegúrese de usar los caracteres de ARN correctos al crear patrones de eventos para que coincidan con la sintaxis de ARN en el evento que desee asignar.
En la tabla siguiente, se muestran los recursos de EventBridge.
| Tipo de recurso | Formato de ARN |
|---|---|
|
Archivado |
|
|
Reproducción |
|
|
Regla |
|
|
Bus de eventos |
|
|
Todos los recursos de EventBridge |
|
|
Todos los recursos de EventBridge que pertenecen a la cuenta especificada en la región indicada |
|
Los siguientes ejemplos muestran cómo indicar una regla específica (myRule) en su instrucción usando su ARN.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
Para especificar todas las reglas que pertenezcan a una cuenta específica mediante el comodín asterisco (*) del modo siguiente.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
Para especificar todos los recursos, o si una acción de API específica no admite ARN, utilice el comodín asterisco (*) en el elemento Resource del siguiente modo.
"Resource": "*"
Para especificar varios recursos o PutTargets en una única instrucción, separe sus ARN con comas, tal y como se indica a continuación.
"Resource": ["arn1", "arn2"]
Propiedad del recurso
Una cuenta es la propietaria de los recursos de la cuenta, independientemente de quién los haya creado. El propietario de los recursos es la cuenta de la entidad principal, el usuario raíz de la cuenta, un usuario o un rol de IAM que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
-
Si utiliza las credenciales de usuario raíz de su cuenta para crear una regla, la cuenta será la propietaria del recurso de EventBridge.
-
Si crea un usuario en su cuenta y le concede permisos para crear recursos de EventBridge, el usuario podrá crear recursos de EventBridge. Sin embargo, su cuenta, a la que pertenece el usuario, será la propietaria de los recursos de EventBridge.
-
Si crea un rol de IAM en su cuenta con permisos para crear recursos de EventBridge, cualquier persona que pueda asumir el rol podrá crear recursos de EventBridge. Su cuenta, a la que pertenece el rol, será la propietaria de los recursos de EventBridge.
Administración del acceso a los recursos
Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
nota
En esta sección se explica el uso de IAM en el contexto de EventBridge. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte What is IAM? (¿Qué es IAM?) en la Guía del usuario de IAM. Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de IAM en la Guía del usuario de IAM.
Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. En EventBridge, puede utilizar políticas basadas en identidades (políticas de IAM) y políticas basadas en recursos.
Temas
Políticas basadas en identidades (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
-
Asociar una política de permisos a un usuario o un grupo en su cuenta: para conceder permiso a un usuario a fin de ver las reglas en la consola de Amazon CloudWatch, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
-
Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la cuenta A puede crear un rol para concederles permisos a las cuentas cruzadas a otra cuenta B o a un servicio de AWS, tal y como se indica a continuación:
-
El administrador de la Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permiso sobre los recursos de la Cuenta A.
-
El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.
-
El administrador de la Cuenta B puede delegar permisos para asumir el rol de cualquier usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos en la Cuenta A u obtener acceso a ellos. La entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS si desea conceder a un servicio de AWS el permiso necesario para asumir el rol.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.
-
Puede crear políticas de IAM específicas para restringir las llamadas y los recursos a los que los usuarios de su cuenta tienen acceso y, a continuación, asociar esas políticas a usuarios de . Para obtener más información sobre cómo crear roles de IAM y para ver instrucciones de políticas de IAM de ejemplo para EventBridge, consulte Administración de permisos de acceso para los recursos de Amazon EventBridge.
Políticas basadas en recursos (políticas de IAM)
Cuando se ejecuta una regla en EventBridge, se invocan todos los destinos asociados a la regla, es decir, se invocan las funciones AWS Lambda, que publican en los temas de Amazon SNS o que transfieren el evento a los flujos de Amazon Kinesis. Para realizar llamadas a la API en los recursos que posee, EventBridge necesita los permisos adecuados. Para los recursos de Lambda, Amazon SNS y Amazon SQS, EventBridge utiliza políticas basadas en recursos. Para los flujos de Kinesis, EventBridge utiliza roles de IAM.
Para obtener más información sobre cómo crear roles de IAM; y para ver instrucciones de políticas basadas en recursos de ejemplo para EventBridge, consulte Uso de políticas basadas en recursos para Amazon EventBridge.
Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Para cada recurso de EventBridge, EventBridge define un conjunto de operaciones de API. Para conceder permisos para estas operaciones de API, EventBridge define un conjunto de acciones que usted puede especificar en una política. Algunas operaciones de API requieren permisos para más de una acción para poder realizar la operación de API. Para obtener más información sobre los recursos y las operaciones de API, consulte Recursos de EventBridge y Referencia de permisos de Amazon EventBridge.
A continuación, se indican los elementos básicos de la política:
-
Recurso: utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos de EventBridge.
-
Acción: utilice palabras clave para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, cuando se concede el permiso
events:Describe, el usuario puede realizar la operaciónDescribe. -
Efecto: especifique permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
-
Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).
Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Para obtener información sobre las acciones de la API de EventBridge y los recursos a los que se aplican, consulte Referencia de permisos de Amazon EventBridge.
Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.
Para definir condiciones, se usan claves de condición. Hay claves de condición de AWS y claves específicas de EventBridge que pueden utilizar cuando corresponda. Para ver una lista completa de claves de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM. Para obtener una lista completa de las claves específicas de EventBridge, consulte Uso de las condiciones de la política de IAM en Amazon EventBridge.
