Envoi et réception d'événements entre AWS comptes sur Amazon EventBridge - Amazon EventBridge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoi et réception d'événements entre AWS comptes sur Amazon EventBridge

Vous pouvez configurer EventBridge pour envoyer et recevoir des événements entre les bus d'événements des AWS comptes. Lorsque vous configurez EventBridge pour envoyer ou recevoir des événements entre comptes, vous pouvez spécifier quels AWS comptes peuvent envoyer ou recevoir des événements depuis le bus d'événements de votre compte. Vous pouvez également autoriser ou refuser des événements à partir de règles spécifiques associées au bus d’événements, ou des événements provenant de sources spécifiques. Pour plus d'informations, consultez Simplifier l'accès entre comptes grâce aux politiques de ressources d'Amazon EventBridge

Note

Si vous l'utilisez AWS Organizations, vous pouvez spécifier une organisation et accorder l'accès à tous les comptes de cette organisation. En outre, le bus d'événements d'envoi doit être associé à IAM des rôles lors de l'envoi d'événements vers un autre compte. Pour plus d’informations, consultez Présentation de AWS Organizations dans le Guide de l’utilisateur AWS Organizations .

Note

Si vous utilisez un plan de réponse Incident Manager en tant que cible, tous les plans de réponse partagés avec votre compte sont disponibles par défaut.

Vous pouvez envoyer et recevoir des événements entre bus d'événements sur AWS des comptes d'une même région dans toutes les régions et entre des comptes situés dans différentes régions, à condition que la région de destination soit une région de destination interrégionale prise en charge.

Les étapes à suivre EventBridge pour configurer l'envoi ou la réception d'événements depuis un bus d'événements d'un autre compte sont les suivantes :

  • Sur le compte destinataire, modifiez les autorisations sur un bus d'événements pour autoriser AWS des comptes spécifiques, une organisation ou tous les AWS comptes à envoyer des événements au compte destinataire.

  • Sur le compte expéditeur, configurez une ou plusieurs règles comportant le bus d'événement du compte récepteur comme cible.

    Si le compte expéditeur hérite des autorisations d'envoi d'événements d'une AWS organisation, le compte expéditeur doit également avoir un IAM rôle doté de politiques lui permettant d'envoyer des événements au compte destinataire. Si vous utilisez le AWS Management Console pour créer la règle qui cible le bus d'événements dans le compte récepteur, le rôle est créé automatiquement. Si vous utilisez le AWS CLI, vous devez créer le rôle manuellement.

  • Sur le compte récepteur, configurez une ou plusieurs des règles qui correspondent à des événements provenant du compte expéditeur.

Les événements envoyés d'un compte à un autre sont facturés au compte expéditeur en tant qu'événements personnalisés. Le compte récepteur n'est pas facturé. Pour plus d'informations, consultez Amazon EventBridge Pricing.

Si un compte récepteur configure une règle qui envoie des événements reçus d'un compte expéditeur à un troisième compte, ces événements ne sont pas envoyés au troisième compte.

Si vous avez trois bus d'événements dans le même compte et que vous configurez une règle sur le premier bus d'événements pour transférer les événements du deuxième bus d'événements vers un troisième bus d'événements, ces événements ne sont pas envoyés au troisième bus d'événements.

La vidéo suivante décrit les événements de routage entre les comptes :

Accorder des autorisations pour autoriser des événements provenant d'autres AWS comptes

Pour recevoir des événements d’autres comptes ou organisations, vous devez d’abord modifier les autorisations sur le bus d’événements où vous prévoyez de recevoir des événements. Le bus d'événements par défaut accepte les événements provenant de AWS services, d'autres AWS comptes autorisés et d'PutEventsappels. Les autorisations pour un bus d’événements sont accordées ou refusées à l’aide d’une politique basée sur les ressources attachée au bus d’événements. Dans la politique, vous pouvez accorder des autorisations à d'autres AWS comptes à l'aide de l'ID de compte ou à une AWS organisation à l'aide de l'ID d'organisation. Pour en savoir plus sur les autorisations relatives au bus d’événements, y compris des exemples de politiques, consultez Autorisations pour les bus dédiés aux événements sur Amazon EventBridge.

Note

EventBridge nécessite désormais l'ajout de IAM rôles à toutes les nouvelles cibles de bus d'événements multicomptes. Cela ne s’applique qu’aux cibles de bus d’événements créées après le 2 mars 2023. Les applications créées sans IAM rôle avant cette date ne sont pas concernées. Toutefois, nous recommandons d'ajouter IAM des rôles pour accorder aux utilisateurs l'accès aux ressources d'un autre compte, car cela garantit que les limites de l'organisation basées sur les politiques de contrôle des services (SCPs) sont appliquées afin de déterminer qui peut envoyer et recevoir des événements depuis les comptes de votre organisation.

Important

Si vous choisissez de recevoir des événements de tous les AWS comptes, veillez à créer des règles qui ne correspondent qu'aux événements destinés aux autres comptes. Pour créer des règles plus sécurisées, assurez-vous que le modèle d'événement de chaque règle contient un Account champ contenant le compte IDs d'un ou de plusieurs comptes à partir desquels les événements doivent être reçus. Les règles qui ont un modèle d'événement contenant un champ Account ne correspondent pas aux événements envoyés à partir des comptes qui ne sont pas répertoriés dans le champ Account. Pour de plus amples informations, veuillez consulter Événements sur Amazon EventBridge.

Règles relatives aux événements entre AWS comptes

Si votre compte est configuré pour recevoir des événements provenant de bus d'événements sur d'autres AWS comptes, vous pouvez rédiger des règles correspondant à ces événements. Définissez le modèle d’événement de la règle pour correspondre aux événements que vous recevez des bus d’événements dans l’autre compte.

À moins que vous ne spécifiiez account dans le modèle d’événement d’une règle, toutes les règles de votre compte, les nouvelles et les existantes, qui correspondent à des événements que vous recevez de bus d’événements dans d’autres comptes se déclenchent en fonction de ces événements. Si vous recevez des événements de bus d’événements dans un autre compte, et que vous souhaitez qu’une règle se déclenche uniquement sur ce modèle d’événement lorsqu’elle est générée à partir de votre propre compte, vous devez ajouter account et spécifier l’ID de votre propre compte dans le modèle d’événement de la règle.

Si vous configurez votre AWS compte pour accepter les événements provenant des bus d'événements sur tous les AWS comptes, nous vous recommandons vivement d'ajouter des account éléments à chaque EventBridge règle de votre compte. Cela empêche les règles de votre compte de se déclencher en cas d'événements provenant de AWS comptes inconnus. Lorsque vous spécifiez le account champ dans la règle, vous pouvez spécifier le compte IDs de plusieurs AWS comptes dans le champ.

Pour qu'une règle déclenche un événement correspondant à partir de n'importe quel bus d'événements du AWS compte auquel vous avez accordé des autorisations, ne spécifiez pas * dans le account champ de la règle. En effet, la règle ne correspondrait à aucun événement, car * n'apparaît jamais dans le champ account d'un événement. Au lieu de cela, contentez-vous d'omettre le champ account à partir de la règle.

Création de règles permettant d'envoyer des événements entre AWS comptes

La spécification d’un bus d’événements dans un autre compte en tant que cible fait partie de la création de la règle.

Pour créer une règle qui envoie des événements à un autre AWS compte à l'aide de la console
  1. Suivez les étapes de la procédure Création de règles qui réagissent aux événements sur Amazon EventBridge.

  2. Au cours de l’étape Sélection des cibles, lorsque vous êtes invité à choisir un type de cible :

    1. Sélectionnez le bus EventBridge événementiel.

    2. Sélectionnez Bus d’événements dans un compte ou une région différent.

    3. Pour le bus d'événements comme cible, entrez le bus ARN d'événements que vous souhaitez utiliser.

  3. Créez la règle en suivant les étapes de la procédure.