Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des autorisations d'accès à vos EventBridge ressources Amazon
Vous gérez l'accès aux EventBridge ressources telles que les règles ou les événements à l'aide de politiques basées sur l'identité ou les ressources.
EventBridge ressources
EventBridge les ressources et les sous-ressources sont associées à des noms de ressources Amazon uniques (ARNs). Vous utilisez ARNs in EventBridge pour créer des modèles d'événements. Pour plus d'informations surARNs, consultez Amazon Resource Names (ARN) et les espaces de noms de AWS service dans le Référence générale d'Amazon Web Services.
Pour une liste des opérations EventBridge permettant d'utiliser les ressources, voirRéférence EventBridge des autorisations Amazon.
Note
La plupart des services de AWS traitent deux points (:) ou une barre oblique (/) comme le même caractère dansARNs. Cependant, EventBridge utilise une correspondance exacte dans les modèles d'événements et les règles. Assurez-vous d'utiliser les bons ARN caractères lors de la création de modèles d'événements afin qu'ils correspondent à la ARN syntaxe de l'événement que vous souhaitez associer.
Le tableau suivant présente les ressources disponibles dans EventBridge.
| Type de ressource | ARNFormater |
|---|---|
|
Archivage |
|
|
Relire |
|
|
Règle |
|
|
Bus d'événement |
|
|
Toutes les EventBridge ressources |
|
|
Toutes les EventBridge ressources détenues par le compte spécifié dans la région spécifiée |
|
L'exemple suivant montre comment indiquer une règle spécifique (myRule) dans votre déclaration en utilisant sonARN.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
Pour spécifier toutes les règles qui appartiennent à un compte spécifique, utilisez le caractère générique astérisque (*) comme suit.
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
Pour spécifier toutes les ressources, ou si une API action spécifique n'est pas compatibleARNs, utilisez le caractère générique astérisque (*) dans l'Resourceélément comme suit.
"Resource": "*"
Pour spécifier plusieurs ressources ou PutTargets dans une seule instruction, séparez-les ARNs par des virgules comme suit.
"Resource": ["arn1", "arn2"]
Propriété des ressources
Les ressources sont la propriété d’un compte, indépendamment des personnes qui les ont créées. Le propriétaire de la ressource est le compte de l'entité principale, l'utilisateur racine du compte, un IAM utilisateur ou un rôle qui authentifie la demande de création de la ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si vous utilisez les informations d'identification de l'utilisateur root de votre compte pour créer une règle, votre compte est le propriétaire de la EventBridge ressource.
-
Si vous créez un utilisateur dans votre compte et que vous accordez l'autorisation de créer EventBridge des ressources à cet utilisateur, celui-ci peut créer EventBridge des ressources. Toutefois, votre compte, auquel appartient l'utilisateur, est propriétaire des EventBridge ressources.
-
Si vous créez un IAM rôle dans votre compte avec l'autorisation de créer des EventBridge ressources, toute personne habilitée à assumer ce rôle peut créer EventBridge des ressources. Votre compte, auquel appartient le rôle, est propriétaire des EventBridge ressources.
Gestion de l’accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section traite de l'utilisation IAM dans le contexte de EventBridge. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux IAM politiques dans le Guide de IAM l'utilisateur.
Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (politiques) et IAM les politiques associées à une ressource sont appelées politiques basées sur les ressources. Dans EventBridge, vous pouvez utiliser à la fois des politiques basées sur l'identité (IAMpolitiques) et des politiques basées sur les ressources.
Rubriques
Politiques basées sur l'identité (politiques) IAM
Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :
-
Associer une politique d'autorisation à un utilisateur ou à un groupe de votre compte : pour autoriser un utilisateur à consulter les règles dans la CloudWatch console Amazon, associez une politique d'autorisations à un utilisateur ou à un groupe auquel l'utilisateur appartient.
-
Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte B ou à un AWS service comme suit :
-
Compte Un administrateur crée un IAM rôle et associe une politique d'autorisation au rôle qui accorde l'autorisation sur les ressources du compte A.
-
L'administrateur du compte A lie une politique d'approbation au rôle identifiant le compte B comme principal pouvant assumer ce rôle.
-
L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Le principal de la politique de confiance peut également être un directeur de AWS service qui accorde à un AWS service l'autorisation nécessaire pour assumer le rôle.
Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.
-
Vous pouvez créer des IAM politiques spécifiques pour restreindre les appels et les ressources auxquels les utilisateurs de votre compte ont accès, puis associer ces politiques aux utilisateurs. Pour plus d'informations sur la façon de créer IAM des rôles et pour découvrir des exemples IAM de déclarations de politique pour EventBridge, voirGestion des autorisations d'accès à vos EventBridge ressources Amazon.
Politiques basées sur les ressources (politiques) IAM
Lorsqu'une règle s'exécute EventBridge, toutes les cibles associées à la règle sont invoquées, ce qui implique d'appeler les AWS Lambda fonctions, de publier sur les SNS rubriques Amazon ou de relayer l'événement dans les flux Amazon Kinesis. Pour API passer des appels sur les ressources que vous possédez, vous devez EventBridge disposer de l'autorisation appropriée. Pour les SQS ressources LambdaSNS, Amazon et Amazon, EventBridge utilise des politiques basées sur les ressources. Pour les flux Kinesis, EventBridge utilise IAM des rôles.
Pour plus d'informations sur la création de IAM rôles et pour découvrir des exemples de déclarations de politique basées sur les ressources pour EventBridge, voir. Utilisation de politiques basées sur les ressources pour Amazon EventBridge
Spécification des éléments d’une politique : actions, effets et principaux
Pour chaque EventBridge ressource, EventBridge définit un ensemble d'APIopérations. Pour accorder des autorisations pour ces API opérations, EventBridge définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines API opérations nécessitent des autorisations pour que plusieurs actions puissent être effectuées. API Pour plus d'informations sur les ressources et API les opérations, consultez EventBridge ressources etRéférence EventBridge des autorisations Amazon.
Voici les éléments de base d’une politique :
-
Ressource : utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d’informations, consultez EventBridge ressources.
-
Action : utilisez des mots-clés pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation
events:Describepermet à l'utilisateur d'effectuer l'opérationDescribe. -
Effet : spécifiez allow ou deny. Si vous n’accordez pas explicitement l’accès (allow) à une ressource, l’accès est refusé. Vous pouvez aussi refuser explicitement l’accès à une ressource dans le but d’empêcher un utilisateur d’y accéder, même si une politique différente accorde l’accès.
-
Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).
Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des IAM JSON politiques dans le Guide de IAM l'utilisateur.
Pour plus d'informations sur les EventBridge API actions et les ressources auxquelles elles s'appliquent, consultezRéférence EventBridge des autorisations Amazon.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.
Pour définir des conditions, vous devez utiliser des clés de condition. Il existe des clés de AWS condition et EventBridge des clés spécifiques que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, consultez la section Clés disponibles pour les conditions dans le guide de IAM l'utilisateur. Pour obtenir la liste complète des clés EventBridge spécifiques, voirUtilisation IAM des conditions politiques sur Amazon EventBridge.
