Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon EventBridge
Les politiques basées sur l'identité sont des politiques d'autorisation que vous pouvez associer aux identités IAM.
AWS politiques gérées pour EventBridge
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées, ou prédéfinies, accordent les autorisations nécessaires pour les cas d’utilisation courants, ce qui vous évite d’avoir à déterminer quelles autorisations sont nécessaires. Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
Les politiques AWS gérées suivantes que vous pouvez associer aux utilisateurs de votre compte sont spécifiques à EventBridge :
-
AmazonEventBridgeFullAccess— Accorde un accès complet à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Accorde un accès en lecture seule à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et Scheduler. EventBridge
AmazonEventBridgeFullAccess politique
La AmazonEventBridgeFullAccess politique accorde des autorisations pour utiliser toutes les EventBridge actions, ainsi que les autorisations suivantes :
-
iam:CreateServiceLinkedRole— EventBridge nécessite cette autorisation pour créer le rôle de service dans votre compte pour les destinations d'API. Cette autorisation accorde uniquement les autorisations du service IAM nécessaires pour créer un rôle dans votre compte, plus particulièrement pour les destinations d’API. -
iam:PassRole— EventBridge nécessite cette autorisation pour transmettre un rôle d'invocation EventBridge à invoquer la cible d'une règle. -
Autorisations du Gestionnaire de secrets EventBridge : ces autorisations sont nécessaires pour gérer les secrets de votre compte lorsque vous fournissez des informations d'identification via la ressource de connexion pour autoriser les destinations API.
Le JSON suivant montre la AmazonEventBridgeFullAccess politique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/apidestinations.events.amazonaws.com/AWSServiceRoleForAmazonEventBridgeApiDestinations", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Note
Les informations contenues dans cette section s’appliquent également à la politique CloudWatchEventsFullAccess. Cependant, il est fortement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess politique
La AmazonEventBridgeReadOnlyAccess politique accorde des autorisations pour utiliser toutes les EventBridge actions de lecture.
Le JSON suivant montre la AmazonEventBridgeReadOnlyAccess politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Note
Les informations contenues dans cette section s’appliquent également à la politique CloudWatchEventsReadOnlyAccess. Cependant, il est fortement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.
EventBridge Politiques gérées spécifiques au schéma
Un schéma définit la structure des événements envoyés à EventBridge. EventBridge fournit des schémas pour tous les événements générés par les AWS services. Les politiques AWS gérées spécifiques aux EventBridge schémas suivantes sont disponibles :
EventBridge Politiques gérées spécifiques au planificateur
Amazon EventBridge Scheduler est un planificateur sans serveur qui vous permet de créer, d'exécuter et de gérer des tâches à partir d'un service géré centralisé. Pour les politiques AWS gérées spécifiques au EventBridge planificateur, voir les politiques AWS gérées pour le planificateur dans le guide de l'utilisateur du EventBridge EventBridge planificateur.
EventBridge Politiques gérées spécifiques aux tuyaux
Amazon EventBridge Pipes connecte les sources d'événements aux cibles. Ils réduisent le besoin de connaissances spécialisées et de code d’intégration lors du développement d’architectures pilotées par les événements. Cela permet d’assurer la cohérence dans les applications de votre entreprise. Les politiques AWS gérées suivantes spécifiques à EventBridge Pipes sont disponibles :
AmazonEventBridgePipesFullAccess
Fournit un accès complet à Amazon EventBridge Pipes.
Note
Cette politique prévoit que
iam:PassRole— EventBridge Pipes a besoin de cette autorisation pour transmettre un rôle d'invocation EventBridge à la création et au démarrage de canaux.AmazonEventBridgePipesReadOnlyAccess
Fournit un accès en lecture seule à Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fournit un accès en lecture seule et aux opérateurs (c'est-à-dire la possibilité d'arrêter et de démarrer l'exécution de Pipes) à Amazon EventBridge Pipes.
Rôles IAM pour l’envoi d’événements
Pour relayer des événements vers des cibles, un rôle IAM est EventBridge nécessaire.
Pour créer un rôle IAM pour envoyer des événements à EventBridge
Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Pour créer un rôle IAM, suivez les étapes décrites dans la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM. Au cours de ces étapes, procédez comme suit :
-
Dans Nom du rôle, utilisez un nom unique au sein de votre compte.
-
Dans Sélectionner le type de rôle, choisissez AWS Service Rôles, puis Amazon EventBridge. Cela donne EventBridge les autorisations nécessaires pour assumer le rôle.
-
Dans Attach Policy, sélectionnez AmazonEventBridgeFullAccess.
-
Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les EventBridge actions et les ressources. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations. Pour plus d’informations sur les politiques IAM, consultez Présentation des politiques IAM dans le Guide de l’utilisateur IAM. Pour plus d’informations sur la gestion et la création de politiques IAM personnalisées, consultez Gestion des politiques IAM dans le Guide de l’utilisateur IAM.
Autorisations requises pour accéder EventBridge aux cibles à l'aide de rôles IAM
EventBridge les cibles nécessitent généralement des rôles IAM qui accordent l'autorisation EventBridge d'invoquer la cible. Voici quelques exemples de différents AWS services et cibles. Pour les autres, utilisez la EventBridge console pour créer une règle et un nouveau rôle qui sera créé avec une politique avec des autorisations bien définies préconfigurées.
Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs et les cibles de bus n'utilisent pas de rôles EventBridge , et les EventBridge autorisations doivent être accordées via une politique de ressources. Les cibles API Gateway peuvent utiliser des politiques de ressource ou des rôles IAM.
Si la cible est une destination d’API, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:*:*:api-destination/*" ] } ] }
Si la cible est un flux Kinesis, le rôle utilisé pour envoyer les données d’événements à cette cible doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs valeurs InstanceIds pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs balises pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si la cible est une machine à AWS Step Functions états, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Si la cible est une tâche Amazon ECS, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
La politique suivante autorise les cibles intégrées EventBridge à effectuer des EC2 actions Amazon en votre nom. Vous devez utiliser le AWS Management Console pour créer des règles avec des cibles intégrées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
La politique suivante permet EventBridge de relayer les événements vers les flux Kinesis de votre compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Exemple de politique gérée par le client : utilisation du balisage pour contrôler l’accès aux règles
L'exemple suivant montre une politique utilisateur qui accorde des autorisations pour les EventBridge actions. Cette politique fonctionne lorsque vous utilisez l' EventBridge API AWS SDKs, ou le AWS CLI.
Vous pouvez autoriser les utilisateurs à accéder à des EventBridge règles spécifiques tout en les empêchant d'accéder à d'autres règles. Pour ce faire, balisez les deux ensembles de règles et utilisez des politiques IAM qui fassent référence à ces balises. Pour plus d'informations sur le balisage EventBridge des ressources, consultezMarquage des ressources sur Amazon EventBridge.
Vous pouvez accorder une politique IAM à un utilisateur pour autoriser l’accès aux seules règles disposant d’une balise déterminée. Pour choisir les règles auxquelles vous accordez accès, associez-les à cette balise. Par exemple, la politique suivante accorde un accès utilisateur aux règles dont la clé de balise Stack a la valeur Prod.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez Contrôle de l'accès à l'aide des politiques dans le Guide de l'utilisateur IAM.
Amazon EventBridge met à jour AWS ses politiques gérées
Consultez les détails des mises à jour des politiques AWS gérées EventBridge depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du EventBridge document.
| Modification | Description | Date |
|---|---|---|
|
AmazonEventBridgeFullAccess— Politique mise à jour |
AWS GovCloud (US) Regions uniquement L'autorisation suivante n'est pas incluse, car elle n'est pas utilisée :
|
9 mai 2024 |
|
AmazonEventBridgeSchemasFullAccess— Politique mise à jour |
AWS GovCloud (US) Regions uniquement L'autorisation suivante n'est pas incluse, car elle n'est pas utilisée :
|
9 mai 2024 |
|
AmazonEventBridgePipesFullAccess— Ajout d'une nouvelle politique |
EventBridge ajout d'une politique gérée pour les autorisations complètes d'utilisation de EventBridge Pipes. |
1er décembre 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Ajout d'une nouvelle politique |
EventBridge ajout d'une politique gérée pour les autorisations permettant de consulter les ressources d'information de EventBridge Pipes. |
1er décembre 2022 |
|
AmazonEventBridgePipesOperatorAccess— Ajout d'une nouvelle politique |
EventBridge ajout d'une politique gérée pour les autorisations permettant d'afficher les informations sur les EventBridge tuyaux, ainsi que de démarrer et d'arrêter l'exécution des tuyaux. |
1er décembre 2022 |
|
AmazonEventBridgeFullAccess – Mise à jour d’une politique existante |
EventBridge a mis à jour la politique pour inclure les autorisations nécessaires à l'utilisation EventBridge des fonctionnalités de Pipes. |
1er décembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante |
EventBridge autorisations supplémentaires nécessaires pour consulter les ressources d'information de EventBridge Pipes. Les actions suivantes ont été ajoutées :
|
1er décembre 2022 |
|
CloudWatchEventsReadOnlyAccess – Mise à jour d’une politique existante |
Mis à jour pour correspondre AmazonEventBridgeReadOnlyAccess. |
1er décembre 2022 |
|
CloudWatchEventsFullAccess – Mise à jour d’une politique existante |
Mis à jour pour correspondre AmazonEventBridgeFullAccess. |
1er décembre 2022 |
|
AmazonEventBridgeFullAccess – Mise à jour d’une politique existante |
EventBridge a mis à jour la politique pour inclure les autorisations nécessaires à l'utilisation des schémas et des fonctionnalités du planificateur. Les autorisations suivantes ont été ajoutées :
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante |
EventBridge autorisations supplémentaires nécessaires pour afficher les ressources d'informations sur le schéma et le planificateur. Les actions suivantes ont été ajoutées :
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante |
EventBridge autorisations supplémentaires nécessaires pour afficher les informations du point de terminaison. Les actions suivantes ont été ajoutées :
|
7 avril 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d’une politique existante |
EventBridge autorisations supplémentaires nécessaires pour afficher les informations de connexion et de destination de l'API. Les actions suivantes ont été ajoutées :
|
4 mars 2021 |
|
AmazonEventBridgeFullAccess – Mise à jour d’une politique existante |
EventBridge a mis à jour la politique pour inclure les destinations d'API Les actions suivantes ont été ajoutées :
|
4 mars 2021 |
|
EventBridge a commencé à suivre les modifications |
EventBridge a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
4 mars 2021 |
