Utilisation de politiques basées sur l'identité (IAMpolitiques) pour Amazon EventBridge - Amazon EventBridge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur l'identité (IAMpolitiques) pour Amazon EventBridge

Les politiques basées sur l'identité sont des politiques d'autorisation que vous pouvez associer aux IAM identités.

AWS politiques gérées pour EventBridge

AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Les politiques gérées, ou prédéfinies, accordent les autorisations nécessaires pour les cas d’utilisation courants, ce qui vous évite d’avoir à déterminer quelles autorisations sont nécessaires. Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.

Les politiques AWS gérées suivantes que vous pouvez associer aux utilisateurs de votre compte sont spécifiques à EventBridge :

  • AmazonEventBridgeFullAccess— Accorde un accès complet à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et EventBridge Scheduler.

  • AmazonEventBridgeReadOnlyAccess— Accorde un accès en lecture seule à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et Scheduler. EventBridge

AmazonEventBridgeFullAccess politique

La AmazonEventBridgeFullAccess politique accorde des autorisations pour utiliser toutes les EventBridge actions, ainsi que les autorisations suivantes :

  • iam:CreateServiceLinkedRole— EventBridge nécessite cette autorisation pour créer le rôle de service dans votre compte pour les API destinations. Cette autorisation accorde uniquement les autorisations IAM de service permettant de créer un rôle dans votre compte spécifiquement pour les API destinations.

  • iam:PassRole— EventBridge nécessite cette autorisation pour transmettre un rôle d'invocation EventBridge à invoquer la cible d'une règle.

  • Autorisations du Gestionnaire de secrets : EventBridge nécessite ces autorisations pour gérer les secrets de votre compte lorsque vous fournissez des informations d'identification via la ressource de connexion pour autoriser les API destinations.

Ce qui suit JSON montre la AmazonEventBridgeFullAccess politique.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Note

Les informations contenues dans cette section s’appliquent également à la politique CloudWatchEventsFullAccess. Cependant, il est fortement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.

AmazonEventBridgeReadOnlyAccess politique

La AmazonEventBridgeReadOnlyAccess politique accorde des autorisations pour utiliser toutes les EventBridge actions de lecture.

Ce qui suit JSON montre la AmazonEventBridgeReadOnlyAccess politique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Note

Les informations contenues dans cette section s’appliquent également à la politique CloudWatchEventsReadOnlyAccess. Cependant, il est fortement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.

EventBridge Politiques gérées spécifiques au schéma

Un schéma définit la structure des événements envoyés à EventBridge. EventBridge fournit des schémas pour tous les événements générés par les AWS services. Les politiques AWS gérées spécifiques aux EventBridge schémas suivantes sont disponibles :

EventBridge Politiques gérées spécifiques au planificateur

Amazon EventBridge Scheduler est un planificateur sans serveur qui vous permet de créer, d'exécuter et de gérer des tâches à partir d'un service géré centralisé. Pour les politiques AWS gérées spécifiques au EventBridge planificateur, voir les politiques AWS gérées pour le planificateur dans le guide de l'utilisateur du EventBridge EventBridge planificateur.

EventBridge Politiques gérées spécifiques aux tuyaux

Amazon EventBridge Pipes connecte les sources d'événements aux cibles. Ils réduisent le besoin de connaissances spécialisées et de code d’intégration lors du développement d’architectures pilotées par les événements. Cela permet d’assurer la cohérence dans les applications de votre entreprise. Les politiques AWS gérées suivantes spécifiques à EventBridge Pipes sont disponibles :

  • AmazonEventBridgePipesFullAccess

    Fournit un accès complet à Amazon EventBridge Pipes.

    Note

    Cette politique prévoit que iam:PassRole — EventBridge Pipes a besoin de cette autorisation pour transmettre un rôle d'invocation EventBridge à la création et au démarrage de canaux.

  • AmazonEventBridgePipesReadOnlyAccess

    Fournit un accès en lecture seule à Amazon EventBridge Pipes.

  • AmazonEventBridgePipesOperatorAccess

    Fournit un accès en lecture seule et aux opérateurs (c'est-à-dire la possibilité d'arrêter et de démarrer l'exécution de Pipes) à Amazon EventBridge Pipes.

IAMrôles pour l'envoi d'événements

Pour relayer les événements vers les cibles, EventBridge il faut un IAM rôle.

Pour créer un IAM rôle permettant d'envoyer des événements à EventBridge
  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Pour créer un IAM rôle, suivez les étapes décrites dans la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le guide de IAM l'utilisateur. Au cours de ces étapes, procédez comme suit :

    • Dans Nom du rôle, utilisez un nom unique au sein de votre compte.

    • Dans Sélectionner le type de rôle, choisissez AWS Service Rôles, puis Amazon EventBridge. Cela donne EventBridge les autorisations nécessaires pour assumer le rôle.

    • Dans Attach Policy, sélectionnez AmazonEventBridgeFullAccess.

Vous pouvez également créer vos propres IAM politiques personnalisées pour autoriser les EventBridge actions et les ressources. Vous pouvez associer ces politiques personnalisées aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations. Pour plus d'informations sur IAM les politiques, consultez la section Présentation des IAM politiques dans le guide de IAM l'utilisateur. Pour plus d'informations sur la gestion et la création de IAM politiques personnalisées, consultez la section Gestion des IAM politiques dans le guide de IAM l'utilisateur.

Autorisations requises pour accéder EventBridge aux cibles à l'aide de IAM rôles

EventBridge les cibles nécessitent généralement IAM des rôles qui accordent l'autorisation EventBridge d'invoquer la cible. Voici quelques exemples de différents AWS services et cibles. Pour les autres, utilisez la EventBridge console pour créer une règle et un nouveau rôle qui sera créé avec une politique avec des autorisations bien définies préconfigurées.

AmazonSQS, AmazonSNS, Lambda, CloudWatch Logs et les cibles de EventBridge bus n'utilisent pas de rôles, et les autorisations EventBridge doivent être accordées via une politique de ressources. APILes cibles de passerelle peuvent utiliser des politiques de ressources ou IAM des rôles.

Si la cible est une API destination, le rôle que vous spécifiez doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }

Si la cible est un flux Kinesis, le rôle utilisé pour envoyer les données d’événements à cette cible doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }

Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs valeurs InstanceIds pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }

Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs balises pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }

Si la cible est une machine à AWS Step Functions états, le rôle que vous spécifiez doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }

Si la cible est une ECS tâche Amazon, le rôle que vous spécifiez doit inclure la politique suivante.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }

La politique suivante autorise les cibles intégrées EventBridge à effectuer des EC2 actions Amazon en votre nom. Vous devez utiliser le AWS Management Console pour créer des règles avec des cibles intégrées.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }

La politique suivante permet EventBridge de relayer les événements vers les flux Kinesis de votre compte.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }

Exemple de politique gérée par le client : utilisation du balisage pour contrôler l’accès aux règles

L'exemple suivant montre une politique utilisateur qui accorde des autorisations pour les EventBridge actions. Cette politique fonctionne lorsque vous utilisez le EventBridge API AWS SDKs, ou le AWS CLI.

Vous pouvez autoriser les utilisateurs à accéder à des EventBridge règles spécifiques tout en les empêchant d'accéder à d'autres règles. Pour ce faire, vous balisez les deux ensembles de règles, puis vous utilisez IAM des politiques qui font référence à ces balises. Pour plus d'informations sur le balisage EventBridge des ressources, consultezMarquage des ressources sur Amazon EventBridge.

Vous pouvez accorder une IAM politique à un utilisateur afin de n'autoriser l'accès qu'aux règles associées à une balise particulière. Pour choisir les règles auxquelles vous accordez accès, associez-les à cette balise. Par exemple, la politique suivante accorde un accès utilisateur aux règles dont la clé de balise Stack a la valeur Prod.

{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }

Pour plus d'informations sur l'utilisation des déclarations IAM de politique, consultez la section Contrôle de l'accès à l'aide de politiques dans le guide de IAM l'utilisateur.

Amazon EventBridge met à jour AWS ses politiques gérées

Consultez les détails des mises à jour des politiques AWS gérées EventBridge depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du EventBridge document.

Modification Description Date

AmazonEventBridgeFullAccess— Politique mise à jour

AWS GovCloud (US) Regions uniquement

L'autorisation suivante n'est pas incluse, car elle n'est pas utilisée :

  • iam:CreateServiceLinkedRoleautorisation pour EventBridge Schema Registry

9 mai 2024

AmazonEventBridgeSchemasFullAccess— Politique mise à jour

AWS GovCloud (US) Regions uniquement

L'autorisation suivante n'est pas incluse, car elle n'est pas utilisée :

  • iam:CreateServiceLinkedRoleautorisation pour EventBridge Schema Registry

9 mai 2024

AmazonEventBridgePipesFullAccess— Ajout d'une nouvelle politique

EventBridge ajout d'une politique gérée pour les autorisations complètes d'utilisation de EventBridge Pipes.

1er décembre 2022

AmazonEventBridgePipesReadOnlyAccess— Ajout d'une nouvelle politique

EventBridge ajout d'une politique gérée pour les autorisations permettant de consulter les ressources d'information de EventBridge Pipes.

1er décembre 2022

AmazonEventBridgePipesOperatorAccess— Ajout d'une nouvelle politique

EventBridge ajout d'une politique gérée pour les autorisations permettant d'afficher les informations sur les EventBridge tuyaux, ainsi que de démarrer et d'arrêter le fonctionnement des tuyaux.

1er décembre 2022

AmazonEventBridgeFullAccess – Mise à jour d’une politique existante

EventBridge a mis à jour la politique pour inclure les autorisations nécessaires à l'utilisation EventBridge des fonctionnalités de Pipes.

1er décembre 2022

AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante

EventBridge autorisations supplémentaires nécessaires pour consulter les ressources d'information de EventBridge Pipes.

Les actions suivantes ont été ajoutées :

  • pipes:DescribePipe

  • pipes:ListPipes

  • pipes:ListTagsForResource

1er décembre 2022

CloudWatchEventsReadOnlyAccess – Mise à jour d’une politique existante

Mis à jour pour correspondre AmazonEventBridgeReadOnlyAccess.

1er décembre 2022

CloudWatchEventsFullAccess – Mise à jour d’une politique existante

Mis à jour pour correspondre AmazonEventBridgeFullAccess.

1er décembre 2022

AmazonEventBridgeFullAccess – Mise à jour d’une politique existante

EventBridge a mis à jour la politique pour inclure les autorisations nécessaires à l'utilisation des schémas et des fonctionnalités du planificateur.

Les autorisations suivantes ont été ajoutées :

  • EventBridge Actions du registre des schémas

  • EventBridge Actions du planificateur

  • iam:CreateServiceLinkedRoleautorisation pour EventBridge Schema Registry

  • iam:PassRoleautorisation pour EventBridge Scheduler

10 novembre 2022

AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante

EventBridge autorisations supplémentaires nécessaires pour afficher les ressources d'informations sur le schéma et le planificateur.

Les actions suivantes ont été ajoutées :

  • schemas:DescribeCodeBinding

  • schemas:DescribeDiscoverer

  • schemas:DescribeRegistry

  • schemas:DescribeSchema

  • schemas:ExportSchema

  • schemas:GetCodeBindingSource

  • schemas:GetDiscoveredSchema

  • schemas:GetResourcePolicy

  • schemas:ListDiscoverers

  • schemas:ListRegistries

  • schemas:ListSchemas

  • schemas:ListSchemaVersions

  • schemas:ListTagsForResource

  • schemas:SearchSchemas

  • scheduler:GetSchedule

  • scheduler:GetScheduleGroup

  • scheduler:ListSchedules

  • scheduler:ListScheduleGroups

  • scheduler:ListTagsForResource

10 novembre 2022

AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante

EventBridge autorisations supplémentaires nécessaires pour afficher les informations du point de terminaison.

Les actions suivantes ont été ajoutées :

  • events:ListEndpoints

  • events:DescribeEndpoint

7 avril 2022

AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante

EventBridge autorisations supplémentaires nécessaires pour afficher les informations de connexion et de API destination.

Les actions suivantes ont été ajoutées :

  • events:DescribeConnection

  • events:ListConnections

  • events:DescribeApiDestination

  • events:ListApiDestinations

4 mars 2021

AmazonEventBridgeFullAccess – Mise à jour d’une politique existante

EventBridge a mis à jour la politique pour inclure iam:CreateServiceLinkedRole les AWS Secrets Manager autorisations nécessaires à l'utilisation des API destinations.

Les actions suivantes ont été ajoutées :

  • secretsmanager:CreateSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

4 mars 2021

EventBridge a commencé à suivre les modifications

EventBridge a commencé à suivre les modifications apportées AWS à ses politiques gérées.

4 mars 2021