Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas basadas en la identidad (políticas de IAM) para Amazon EventBridge
Las políticas basadas en identidades son políticas de permisos que puede adjuntar a identidades de IAM.
AWS políticas gestionadas para EventBridge
AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas o predefinidas otorgan los permisos necesarios para casos de uso comunes, por lo que no es necesario investigar qué permisos se necesitan. Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Las siguientes políticas AWS gestionadas que puede adjuntar a los usuarios de su cuenta son específicas de: EventBridge
-
AmazonEventBridgeFullAccess— Otorga acceso completo a EventBridge, incluidos EventBridge Pipes, EventBridge Schemas y EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Otorga acceso de solo lectura a EventBridge, incluidos EventBridge Pipes, Schemas y Scheduler EventBridge . EventBridge
AmazonEventBridgeFullAccess política
La AmazonEventBridgeFullAccess política concede permisos para usar todas EventBridge las acciones, así como los siguientes permisos:
-
iam:CreateServiceLinkedRole— EventBridge requiere este permiso para crear el rol de servicio en tu cuenta para los destinos de la API. Este permiso solo otorga al servicio de IAM permisos para crear un rol en la cuenta específico para los destinos de la API. -
iam:PassRole— EventBridge requiere este permiso para pasar un rol de invocación EventBridge al objetivo de una regla. -
Permisos de Secrets Manager: EventBridge requiere estos permisos para administrar los secretos de tu cuenta cuando proporcionas credenciales a través del recurso de conexión para autorizar los destinos de la API.
En el siguiente JSON se muestra la AmazonEventBridgeFullAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/apidestinations.events.amazonaws.com/AWSServiceRoleForAmazonEventBridgeApiDestinations", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
nota
La información de esta sección también se aplica a la política CloudWatchEventsFullAccess. Sin embargo, se recomienda encarecidamente que utilice Amazon EventBridge en lugar de Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess política
La AmazonEventBridgeReadOnlyAccess política otorga permisos para usar todas las EventBridge acciones de lectura.
El siguiente JSON muestra la AmazonEventBridgeReadOnlyAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
nota
La información de esta sección también se aplica a la política CloudWatchEventsReadOnlyAccess. Sin embargo, se recomienda encarecidamente que utilice Amazon EventBridge en lugar de Amazon CloudWatch Events.
EventBridge Políticas gestionadas específicas del esquema
Un esquema define la estructura de los eventos a los que se envían. EventBridge EventBridge proporciona esquemas para todos los eventos generados por los AWS servicios. Están disponibles las siguientes políticas AWS gestionadas específicas de EventBridge los esquemas:
EventBridge Políticas gestionadas específicas del programador
Amazon EventBridge Scheduler es un programador sin servidor que le permite crear, ejecutar y gestionar tareas desde un servicio gestionado central. Para ver las políticas AWS administradas específicas de EventBridge Scheduler, consulte las políticas AWS administradas de Scheduler en la Guía del usuario de EventBridge Scheduler. EventBridge
EventBridge Políticas gestionadas específicas de Pipes
Amazon EventBridge Pipes conecta las fuentes de eventos con los objetivos. Reduce la necesidad de conocimientos especializados y códigos de integración a la hora de desarrollar arquitecturas basadas en eventos. Esto ayuda a garantizar la coherencia en todas las aplicaciones de su empresa. Están disponibles las siguientes políticas AWS gestionadas específicas para EventBridge Pipes:
AmazonEventBridgePipesFullAccess
Proporciona acceso completo a Amazon EventBridge Pipes.
nota
Esta política establece lo
iam:PassRolesiguiente: EventBridge Pipes necesita este permiso para transferir un rol de invocación EventBridge a fin de crear e iniciar canalizaciones.AmazonEventBridgePipesReadOnlyAccess
Proporciona acceso de solo lectura a Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Proporciona acceso de solo lectura y mediante operador (es decir, la capacidad de detener y empezar a ejecutar Pipes) a Amazon EventBridge Pipes.
Roles de IAM; para enviar eventos
Para transmitir eventos a los objetivos, EventBridge necesita una función de IAM.
Para crear un rol de IAM para enviar eventos a EventBridge
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
Para crear un rol de IAM, siga los pasos de la Guía del usuario de IAM sobre cómo crear un rol para delegar permisos a un AWS servicio. Cuando siga los pasos, haga lo siguiente:
-
En Nombre del rol, utilice un nombre que sea exclusivo dentro de su cuenta.
-
En Select Role Type, elija AWS Service Roles y, a continuación, Amazon EventBridge. Esto otorga EventBridge permisos para asumir el rol.
-
En Attach Policy, elija AmazonEventBridgeFullAccess.
-
También puedes crear tus propias políticas de IAM personalizadas para permitir permisos para EventBridge acciones y recursos. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos. Para obtener más información acerca de las políticas de IAM, consulte Descripción general de las políticas de IAM en la Guía del usuario de IAM. Para obtener más información sobre cómo administrar y crear políticas de IAM personalizadas, consulte Administrar políticas de IAM en la Guía del usuario de IAM.
Permisos necesarios para acceder EventBridge a los objetivos mediante funciones de IAM
EventBridge Los objetivos suelen requerir funciones de IAM que concedan permiso para EventBridge invocar el objetivo. A continuación se muestran algunos ejemplos de varios AWS servicios y objetivos. Para otros, utilice la EventBridge consola para crear una regla y crear un nuevo rol que se creará con una política con permisos bien definidos y preconfigurados.
Amazon SQS, Amazon SNS, CloudWatch Lambda EventBridge , Logs y los destinos de bus no utilizan funciones y los EventBridge permisos deben concederse mediante una política de recursos. Los objetivos de API Gateway pueden usar políticas de recursos o roles de IAM.
Si el destino es un destino de API, el rol que especifique debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:*:*:api-destination/*" ] } ] }
Si el destino es un flujo de Kinesis, el rol utilizado para enviar datos de eventos a dicho destino debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Si el destino es el comando ejecutar de Systems Manager y especifica uno o varios valores de InstanceIds para el comando, el rol que especifique debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si el destino es el comando ejecutar de Systems Manager y especifica una o varias etiquetas para el comando, el rol que especifique debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si el destino es una máquina de AWS Step Functions estados, la función que especifique debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Si el destino es una tarea de Amazon ECS, el rol que especifique debe incluir la siguiente política.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
La siguiente política permite que los objetivos integrados EventBridge realicen EC2 acciones de Amazon en tu nombre. Debes utilizarla AWS Management Console para crear reglas con objetivos integrados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
La siguiente política permite EventBridge retransmitir eventos a las transmisiones de Kinesis de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Ejemplo de política administrada por el cliente: uso del etiquetado para controlar el acceso a las reglas
El siguiente ejemplo muestra una política de usuario que concede permisos para EventBridge realizar acciones. Esta política funciona cuando se utiliza la EventBridge API AWS SDKs, o la AWS CLI.
Puede conceder a los usuarios acceso a EventBridge reglas específicas y, al mismo tiempo, impedir que accedan a otras reglas. Para ello, etiquete ambos conjuntos de reglas y, a continuación, utilice políticas de IAM para hacer referencia a esas etiquetas. Para obtener más información sobre el etiquetado de EventBridge recursos, consulteEtiquetado de recursos en Amazon EventBridge.
Puede conceder una política de IAM a un usuario para permitir el acceso únicamente a las reglas con una determinada etiqueta. Usted elige las reglas a las que desea conceder el acceso etiquetándolas con esa etiqueta concreta. Por ejemplo, la siguiente política concede a un usuario acceso a reglas con el valor de Prod para la clave de etiqueta Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Para obtener más información acerca del uso de instrucciones de política de IAM, consulte Control del acceso mediante las políticas en la Guía del usuario de IAM.
Amazon EventBridge actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas EventBridge desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del EventBridge documento.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AmazonEventBridgeFullAccess: política actualizada |
AWS GovCloud (US) Regions únicamente El siguiente permiso no está incluido porque no se utiliza:
|
9 de mayo de 2024 |
|
AmazonEventBridgeSchemasFullAccess: política actualizada |
AWS GovCloud (US) Regions únicamente El siguiente permiso no está incluido porque no se utiliza:
|
9 de mayo de 2024 |
|
AmazonEventBridgePipesFullAccess— Se agregó una nueva política |
EventBridge se agregó una política administrada para obtener todos los permisos de uso de EventBridge Pipes. |
1 de diciembre de 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Se agregó una nueva política |
EventBridge se agregó una política administrada de permisos para ver los recursos de información de EventBridge Pipes. |
1 de diciembre de 2022 |
|
AmazonEventBridgePipesOperatorAccess— Se agregó una nueva política |
EventBridge se agregó una política administrada de permisos para ver la información de EventBridge las tuberías, así como para iniciar y detener las tuberías en funcionamiento. |
1 de diciembre de 2022 |
|
AmazonEventBridgeFullAccess: actualización de una política actual |
EventBridge actualizó la política para incluir los permisos necesarios para usar EventBridge las funciones de Pipes. |
1 de diciembre de 2022 |
|
AmazonEventBridgeReadOnlyAccess: actualización de una política actual |
EventBridge se agregaron los permisos necesarios para ver los recursos de información de EventBridge Pipes. Se agregaron las siguientes acciones:
|
1 de diciembre de 2022 |
|
CloudWatchEventsReadOnlyAccess: actualización de una política actual |
Actualizado para que coincida AmazonEventBridgeReadOnlyAccess. |
1 de diciembre de 2022 |
|
CloudWatchEventsFullAccess: actualización de una política actual |
Actualizado para que coincida AmazonEventBridgeFullAccess. |
1 de diciembre de 2022 |
|
AmazonEventBridgeFullAccess: actualización de una política actual |
EventBridge actualizó la política para incluir los permisos necesarios para usar los esquemas y las funciones del programador. Se agregaron los siguientes permisos:
|
10 de noviembre de 2022 |
|
AmazonEventBridgeReadOnlyAccess: actualización de una política actual |
EventBridge se agregaron los permisos necesarios para ver los recursos de información del esquema y del programador. Se agregaron las siguientes acciones:
|
10 de noviembre de 2022 |
|
AmazonEventBridgeReadOnlyAccess: actualización de una política actual |
EventBridge se agregaron los permisos necesarios para ver la información del punto final. Se agregaron las siguientes acciones:
|
7 de abril de 2022 |
|
AmazonEventBridgeReadOnlyAccess: actualización de una política actual |
EventBridge se agregaron los permisos necesarios para ver la información de conexión y destino de la API. Se agregaron las siguientes acciones:
|
4 de marzo de 2021 |
|
AmazonEventBridgeFullAccess: actualización de una política actual |
EventBridge actualizó la política para incluir Se agregaron las siguientes acciones:
|
4 de marzo de 2021 |
|
EventBridge comenzó a rastrear los cambios |
EventBridge comenzó a rastrear los cambios de sus políticas AWS gestionadas. |
4 de marzo de 2021 |
