Mengelola izin akses ke sumber daya Amazon EventBridge Anda - Amazon EventBridge
Sumber daya dan operasiKepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: tindakan, efek, dan prinsipMenentukan kondisi dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin akses ke sumber daya Amazon EventBridge Anda

Anda mengelola akses ke EventBridge sumber daya seperti aturan atau peristiwa dengan menggunakan kebijakan berbasis identitas atau sumber daya.

EventBridge sumber daya

EventBridge sumber daya dan subsumber daya memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya. Anda menggunakan ARNs dalam EventBridge untuk membuat pola acara. Untuk informasi selengkapnyaARNs, lihat Amazon Resource Names (ARN) dan Ruang Nama AWS Layanan di bagian. Referensi Umum Amazon Web Services

Untuk daftar operasi yang EventBridge disediakan untuk bekerja dengan sumber daya, lihat EventBridge Referensi izin Amazon.

catatan

Sebagian besar layanan dalam AWS memperlakukan titik dua (:) atau garis miring maju (/) sebagai karakter yang sama diARNs. Namun, EventBridge menggunakan kecocokan tepat dalam pola dan aturan acara. Pastikan untuk menggunakan ARN karakter yang benar saat membuat pola acara sehingga cocok dengan ARN sintaks jika Anda ingin mencocokkan.

Tabel berikut menunjukkan sumber daya di EventBridge.

Jenis Sumber Daya ARNFormat

Arsip

arn:aws:events:region:account:archive/archive-name

Putar Ulang

arn:aws:events:region:account:replay/replay-name

Aturan

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Bus peristiwa

arn:aws:events:region:account:event-bus/event-bus-name

Semua EventBridge sumber daya

arn:aws:events:*

Semua EventBridge sumber daya yang dimiliki oleh akun yang ditentukan di Wilayah yang ditentukan

arn:aws:events:region:account:*

Contoh berikut menunjukkan cara menunjukkan aturan tertentu (myRule) dalam pernyataan Anda menggunakan nyaARN.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Untuk menentukan semua aturan yang menjadi bagian dari akun tertentu dengan menggunakan tanda bintang (*) seperti berikut ini.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Untuk menentukan semua sumber daya, atau jika API tindakan tertentu tidak mendukungARNs, gunakan wildcard asterisk (*) dalam Resource elemen sebagai berikut.

"Resource": "*"

Untuk menentukan beberapa sumber daya atau PutTargets dalam satu pernyataan, pisahkan ARNs dengan koma sebagai berikut.

"Resource": ["arn1", "arn2"]

Kepemilikan sumber daya

Akun memiliki sumber daya di akun, tidak peduli siapa yang membuat sumber daya. Pemilik sumber daya adalah akun entitas utama, pengguna root akun, IAM pengguna atau peran yang mengautentikasi permintaan untuk membuat sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi pengguna root dari akun Anda untuk membuat aturan, akun Anda adalah pemilik sumber daya. EventBridge

  • Jika Anda membuat pengguna di akun Anda dan memberikan izin untuk membuat EventBridge sumber daya kepada pengguna tersebut, pengguna dapat membuat EventBridge sumber daya. Namun, akun Anda, yang menjadi milik pengguna, memiliki EventBridge sumber daya.

  • Jika Anda membuat IAM peran di akun dengan izin untuk membuat EventBridge sumber daya, siapa pun yang dapat mengambil peran tersebut dapat membuat EventBridge sumber daya. Akun Anda, yang menjadi milik perannya, memiliki EventBridge sumber daya.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks. EventBridge Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat referensi IAM kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan) dan IAM kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. Di EventBridge, Anda dapat menggunakan kebijakan berbasis identitas (IAMkebijakan) dan berbasis sumber daya.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin kepada pengguna untuk melihat aturan di CloudWatch konsol Amazon, lampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM Misalnya, administrator di akun A dapat membuat peran untuk memberikan izin lintas akun ke akun B lain atau AWS layanan sebagai berikut:

    1. Akun Administrator membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan pada akun identifikasi peran B sebagai penanggung jawab yang dapat menjalankan peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di akun B. Melakukan hal ini memungkinkan pengguna di akun B untuk membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan untuk memberikan kepada AWS layanan izin yang diperlukan untuk mengambil peran.

    Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Anda dapat membuat IAM kebijakan khusus untuk membatasi panggilan dan sumber daya yang dapat diakses pengguna di akun Anda dan kemudian melampirkan kebijakan tersebut ke pengguna. Untuk informasi selengkapnya tentang cara membuat IAM peran dan menjelajahi contoh pernyataan IAM kebijakan EventBridge, lihatMengelola izin akses ke sumber daya Amazon EventBridge Anda.

Kebijakan berbasis sumber daya (kebijakan) IAM

Saat aturan berjalan EventBridge, semua target yang terkait dengan aturan dipanggil, yang berarti menjalankan AWS Lambda fungsi, menerbitkan ke SNS topik Amazon, atau menyampaikan acara ke aliran Amazon Kinesis. Untuk melakukan API panggilan pada sumber daya yang Anda miliki, EventBridge perlu izin yang sesuai. Untuk sumber daya LambdaSNS, Amazon, dan Amazon, EventBridge menggunakan SQS kebijakan berbasis sumber daya. Untuk aliran Kinesis, EventBridge gunakan peran. IAM

Untuk informasi selengkapnya tentang cara membuat IAM peran dan menjelajahi contoh pernyataan kebijakan berbasis sumber daya, lihat. EventBridge Menggunakan kebijakan berbasis sumber daya untuk Amazon EventBridge

Menentukan elemen kebijakan: tindakan, efek, dan prinsip

Untuk setiap EventBridge sumber daya, EventBridge mendefinisikan satu set API operasi. Untuk memberikan izin untuk API operasi ini, EventBridge tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa API operasi memerlukan izin untuk lebih dari satu tindakan untuk melakukan API operasi. Untuk informasi selengkapnya tentang sumber daya dan API operasi, lihat EventBridge sumber daya dan EventBridge Referensi izin Amazon.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber Daya — Gunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut. Untuk informasi selengkapnya, lihat EventBridge sumber daya.

  • Tindakan – Gunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin events:Describe memungkinkan pengguna untuk melakukan operasi Describe.

  • Efek— Tentukan apakah izinkan atau tolak. Jika Anda tidak secara eksplisit memberikan akses ke (izinkan) sumber daya, akses akan ditolak. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk informasi selengkapnya tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi IAM JSON Kebijakan di IAMPanduan Pengguna.

Untuk informasi tentang EventBridge API tindakan dan sumber daya yang mereka terapkan, lihat EventBridge Referensi izin Amazon.

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat kapan kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan syarat, Anda menggunakan kunci syarat. Ada tombol AWS kondisi dan kunci EventBridge spesifik yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap AWS kunci, lihat Kunci yang Tersedia untuk Ketentuan di Panduan IAM Pengguna. Untuk daftar lengkap kunci EventBridge tertentu, lihatMenggunakan kondisi IAM kebijakan di Amazon EventBridge.