Uso de las condiciones de la política de IAM en Amazon EventBridge - Amazon EventBridge

Uso de las condiciones de la política de IAM en Amazon EventBridge

A la hora de conceder permisos, se utiliza el lenguaje de las políticas de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, puede tener una política que solo se aplique después de una fecha específica.

Una condición de una política consta de pares clave-valor. Las claves de condición no distinguen entre mayúsculas y minúsculas.

Si especifica varias condiciones o claves en una única condición, para que EventBridge conceda el permiso deben cumplirse todas las condiciones y claves. Si especifica una única condición con varios valores para una clave, EventBridge concede el permiso si se cumple uno de los valores.

También puede utilizar marcadores de posición o variables de políticas al especificar condiciones. Para obtener más información, consulte Variables de políticas en la Guía del usuario de IAM. Para obtener más información sobre cómo especificar condiciones en un lenguaje de políticas de IAM, consulte Condición en la Guía del usuario de IAM.

De forma predeterminada, los usuarios y los roles de IAM no pueden acceder a los eventos en su cuenta. Para acceder a los eventos, un usuario debe estar autorizado para la acción del API PutRule. Si un usuario o un rol de IAM recibe autorización para la acción events:PutRule, puede crear una regla que coincida con determinados eventos. Sin embargo, para que la regla sea útil, el usuario también debe tener permisos para la acción events:PutTargets porque, si quiere que la regla haga algo más que publicar una métrica de CloudWatch, también debe añadir un destino a la regla.

Puede proporcionar una condición en la instrucción de política de un usuario o rol de IAM que permita a este crear una regla que solo coincida con un conjunto específico de orígenes y tipos de detalles. Para conceder acceso a orígenes y tipos de eventos específicos, utilice las claves de condición events:source y events:detail-type.

Del mismo modo, puede proporcionar una condición en la instrucción de política de un usuario o rol de IAM que permita a este crear una regla que solo coincida con un recurso específico de sus cuentas. Para conceder acceso a un recurso específico, utilice la clave de condición events:TargetArn.

El siguiente ejemplo es una política que permite a los usuarios acceder a todos los eventos de EventBridge, excepto a los de Amazon EC2, mediante una instrucción de denegación en la acción de la API PutRule.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyPutRuleForAllEC2Events", "Effect": "Deny", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2" } } } ] }

Claves de condición de EventBridge

En la siguiente tabla se muestran las claves de condición y los pares de claves y valores que puede usar en una política de EventBridge.

Clave de condición Par clave-valor Tipos de evaluación

aws:SourceAccount

La cuenta en la que reside la regla especificada por aws:SourceArn.

ID de cuenta, Null

aws:SourceArn

El ARN de la regla que envía el evento.

ARN, Null

events:creatorAccount

"events:creatorAccount":"creatorAccount"

En creatorAccount, utilice el ID de la cuenta que creó la regla. Use esta condición para autorizar las llamadas a la API en reglas de una cuenta específica.

creatorAccount, Null

events:detail-type

"events:detail-type":"detail-type "

Donde detail-type es la cadena literal del campo detail-type del evento, como "AWS API Call via CloudTrail" y "EC2 Instance State-change Notification".

Tipo de detalle, Null

events: detail.eventTypeCode

"events:detail.eventTypeCode":"eventTypeCode"

En eventTypeCode, use la cadena literal para el campo detail.eventTypeCode del evento, como "AWS_ABUSE_DOS_REPORT".

eventTypeCode, Null

events: detail.service

"events:detail.service":"service"

En service, use la cadena literal para el campo detail.service del evento, como "ABUSE".

servicio, Null

events: detail.userIdentity.principalId

"events:detail.userIdentity.principalId":"principal-id"

En principal-id, use la cadena literal para el campo detail.userIdentity.principalId del evento con detail-type "AWS API Call via CloudTrail", como "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName.".

ID de entidad principal, Null

events:eventBusInvocation

"events:eventBusInvocation":"boolean"

En booleano, use true cuando una regla envíe un evento a un destino que sea un bus de eventos de otra cuenta. Usa false cuando se utilice una llamada a la API PutEvents.

eventBusInvocation, Null

events:ManagedBy

Utilizado internamente por los servicios de AWS. Si un servicio de AWS crea una regla en su nombre, el valor será el nombre de la entidad principal del servicio que la creó.

No está diseñado para su uso en las políticas de clientes.

events:source

"events:source":"source "

Use source para la cadena literal para el campo de origen del evento, como "aws.ec2" o "aws.s3". Para ver más valores posibles de source, consulte los eventos de ejemplo en Eventos de los servicios de AWS de Amazon EventBridge.

Origen, Null

events:TargetArn

"events:TargetArn":"target-arn "

Para target-arn, use el ARN del destino para la regla, por ejemplo "arn:aws:lambda:*:*:function:*".

ArrayOfARN, Null

Para obtener ejemplos de instrucciones de política de EventBridge, consulte Administración de permisos de acceso para los recursos de Amazon EventBridge.

Aspectos específicos de las canalizaciones de EventBridge

Las canalizaciones de EventBridge no admiten ninguna clave de condición adicional de las políticas de IAM.

Ejemplo: Uso de la condición creatorAccount

En el siguiente ejemplo de instrucción de política se muestra cómo utilizar la condición creatorAccount en una política para permitir la creación de reglas únicamente si la cuenta especificada como creatorAccount es la cuenta que creó la regla.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForOwnedRules", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEqualsIfExists": { "events:creatorAccount": "${aws:PrincipalAccount}" } } } ] }

Ejemplo: Uso de la condición eventBusInvocation

La eventBusInvocation indica si la invocación se origina en un destino entre cuentas o en una solicitud de API PutEvents. El valor es true cuando la invocación es el resultado de una regla que incluye un destino entre cuentas, como cuando el destino es un bus de eventos de otra cuenta. El valor es false cuando la invocación es el resultado de una solicitud de API PutEvents. El siguiente ejemplo indica una invocación desde un destino entre cuentas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCrossAccountInvocationEventsOnly", "Effect": "Allow", "Action": "events:PutEvents", "Resource": "*", "Condition": { "BoolIfExists": { "events:eventBusInvocation": "true" } } } ] }

Ejemplo: Limitación del acceso a un origen específico

Las siguientes políticas de ejemplo se pueden adjuntar a un usuario de IAM;. La Política A permite la acción de la API PutRule para todos los eventos, mientras que la Política B permite PutRule únicamente si el patrón de eventos de la regla que se crea coincide con eventos de Amazon EC2.

Política A: permitir todos los eventos

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForAllEvents", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*" } ] }

Política B: permitir eventos solo desde Amazon EC2

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleForAllEC2Events", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2" } } } ] }

EventPattern es un argumento obligatorio para PutRule. Por lo tanto, si el usuario con la Política B llama a PutRule con un patrón de eventos como el siguiente:

{ "source": [ "aws.ec2" ] }

La regla se crearía porque la política permite este origen específico, es decir, "aws.ec2". Sin embargo, si el usuario con la Política B llama a PutRule con un patrón de eventos como el siguiente, la creación de la regla se denegaría porque la política no permite este origen específico: es decir, "aws.s3".

{ "source": [ "aws.s3" ] }

Básicamente, al usuario con la Política B solo se le permite crear una regla que coincida con los eventos procedentes de Amazon EC2, por lo tanto, solo se le permite el acceso a los eventos desde Amazon EC2.

Consulte la tabla siguiente para una comparación de Política A y Política B.

Patrón de eventos Permitidos por la Política A Permitidos por la Política B
{ "source": [ "aws.ec2" ] }

{ "source": [ "aws.ec2", "aws.s3" ] }

No (el origen aws.s3 no está permitido)

{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }

{ "detail-type": [ "EC2 Instance State-change Notification" ] }

No (el origen debe especificarse)

Ejemplo: Definición de varios orígenes que puedan utilizarse en un patrón de eventos individualmente

El siguiente ejemplo permite a un usuario o rol de IAM crear una regla cuyo origen en el EventPattern sea Amazon EC2 o Amazon ECS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsEC2OrECS", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": [ "aws.ec2", "aws.ecs" ] } } } ] }

En la tabla siguiente se ofrecen ejemplos de patrones de eventos que esta política permite o deniega.

Patrón de eventos Permitidos por la política
{ "source": [ "aws.ec2" ] }

{ "source": [ "aws.ecs" ] }

{ "source": [ "aws.s3" ] }

No

{ "source": [ "aws.ec2", "aws.ecs" ] }

No

{ "detail-type": [ "AWS API Call via CloudTrail" ] }

No

Ejemplo: Definición de un origen y un DetailType que puedan utilizarse en un patrón de eventos

La siguiente política permite eventos solo desde el origen aws.ec2 con DetailType igual a EC2 instance state change notification.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsEC2AndDetailTypeIsInstanceStateChangeNotification", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:source": "aws.ec2", "events:detail-type": "EC2 Instance State-change Notification" } } } ] }

En la tabla siguiente se ofrecen ejemplos de patrones de eventos que esta política permite o deniega.

Patrón de eventos Permitidos por la política
{ "source": [ "aws.ec2" ] }

No

{ "source": [ "aws.ecs" ] }

No

{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }

{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance Health Failed" ] }

No

{ "detail-type": [ "EC2 Instance State-change Notification" ] }

No

Ejemplo: Comprobación de que el origen se ha definido en el patrón de eventos

La siguiente política permite a los usuarios crear reglas con EventPatterns que tienen el campo de origen. Con esta política, un usuario o un rol de IAM no puede crear una regla con un EventPattern que no proporcione un origen específico.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsSpecified", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "Null": { "events:source": "false" } } } ] }

En la tabla siguiente se ofrecen ejemplos de patrones de eventos que esta política permite o deniega.

Patrón de eventos Permitidos por la Política
{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }

{ "source": [ "aws.ecs", "aws.ec2" ] }

{ "detail-type": [ "EC2 Instance State-change Notification" ] }

No

Ejemplo: Definición de una lista de orígenes permitidos en un patrón de eventos con varios orígenes

La siguiente política permite a los usuarios crear reglas con EventPatterns que puede tener varios orígenes en ellas. Cada origen del patrón de eventos debe ser miembro de la lista proporcionada en la condición. Cuando utilice la condición ForAllValues, asegúrese de que al menos uno de los elementos de la lista de condiciones esté definido.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "events:source": [ "aws.ec2", "aws.s3" ] }, "Null": { "events:source": "false" } } } ] }

En la tabla siguiente se ofrecen ejemplos de patrones de eventos que esta política permite o deniega.

Patrón de eventos Permitidos por la Política
{ "source": [ "aws.ec2" ] }

{ "source": [ "aws.ec2", "aws.s3" ] }

{ "source": [ "aws.ec2", "aws.autoscaling" ] }

No

{ "detail-type": [ "EC2 Instance State-change Notification" ] }

No

Ejemplo: Limitación del acceso a PutRule mediante detail.service

Puede restringir un usuario o un rol de IAM de forma que solo pueda crear reglas para eventos que tengan un determinado valor en el campo events:details.service. El valor de events:details.service no es necesariamente el nombre de un servicio de AWS.

Esta condición de política resulta útil al trabajar con eventos de AWS Health relacionados con la seguridad o el abuso. Al utilizar esta condición de política, puede limitar el acceso a estas alertas sensibles únicamente a aquellos usuarios que necesiten verlas.

Por ejemplo, la siguiente política permite la creación de reglas solo para los eventos cuyo donde el valor de events:details.service sea ABUSE.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleEventsWithDetailServiceEC2", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:detail.service": "ABUSE" } } } ] }

Ejemplo: Limitación del acceso a PutRule mediante detail.eventTypeCode

Puede restringir un usuario o un rol de IAM de forma que solo pueda crear reglas para eventos que tengan un determinado valor en el campo events:details.eventTypeCode. Esta condición de política resulta útil al trabajar con eventos de AWS Health relacionados con la seguridad o el abuso. Al utilizar esta condición de política, puede limitar el acceso a estas alertas sensibles únicamente a aquellos usuarios que necesiten verlas.

Por ejemplo, la siguiente política permite la creación de reglas solo para los eventos cuyo donde el valor de events:details.eventTypeCode sea AWS_ABUSE_DOS_REPORT.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleEventsWithDetailServiceEC2", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT" } } } ] }

Ejemplo: Comprobación de que solo se permitan eventos de AWS CloudTrail para llamadas a la API de un PrincipalId determinado

Todos los eventos de AWS CloudTrail tienen el PrincipalId del usuario que hizo la llamada a la API en la ruta detail.userIdentity.principalId de un evento. Usando la clave de condición events:detail.userIdentity.principalId, puede limitar el acceso de los usuarios o roles de IAM a los eventos de CloudTrail únicamente para los procedentes de una cuenta específica.

"Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser", "Effect": "Allow", "Action": "events:PutRule", "Resource": "*", "Condition": { "StringEquals": { "events:detail-type": [ "AWS API Call via CloudTrail" ], "events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ] } } } ] }

En la tabla siguiente se ofrecen ejemplos de patrones de eventos que esta política permite o deniega.

Patrón de eventos Permitidos por la política
{ "detail-type": [ "AWS API Call via CloudTrail" ] }

No

{ "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ] }

{ "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ] }

No

Ejemplo: Limitación del acceso a los destinos

Si un usuario o un rol de IAM; tiene permiso events:PutTargets, puede añadir cualquier destino en la misma cuenta a las reglas a las que se les permita el acceso. La siguiente política limita la adición de destinos a solo una regla específica: MyRule en la cuenta 123456789012.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutTargetsOnASpecificRule", "Effect": "Allow", "Action": "events:PutTargets", "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule" } ] }

Para limitar los destinos que se pueden añadir a la regla, utilice la clave de condición events:TargetArn. Por ejemplo, puede limitar destinos solo a funciones de Lambda, como en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions", "Effect": "Allow", "Action": "events:PutTargets", "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule", "Condition": { "ArnLike": { "events:TargetArn": "arn:aws:lambda:*:*:function:*" } } } ] }