Menggunakan kebijakan berbasis identitas di Scheduler EventBridge - EventBridge Penjadwal
Praktik terbaik kebijakanEventBridge Izin penjadwalAWS kebijakan terkelolaKebijakan yang dikelola pelangganAWS pembaruan kebijakan terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas di Scheduler EventBridge

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya EventBridge Penjadwal. Mereka juga tidak dapat melakukan tugas dengan menggunakan AWS Management Console, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan ini, lihat Membuat JSON IAM kebijakan di Panduan Pengguna. IAM

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh EventBridge Penjadwal, termasuk format ARNs untuk setiap jenis sumber daya, lihat Kunci tindakan, sumber daya, dan kondisi untuk EventBridge Penjadwal Amazon di Referensi Otorisasi Layanan.

Praktik terbaik kebijakan

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber EventBridge Penjadwal di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:

  • Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin kepada pengguna dan beban kerja Anda, gunakan kebijakan AWS terkelola yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat kebijakan AWSAWS terkelola atau kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

  • Menerapkan izin hak istimewa paling sedikit — Saat Anda menetapkan izin dengan IAM kebijakan, berikan hanya izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Untuk informasi selengkapnya tentang penggunaan IAM untuk menerapkan izin, lihat Kebijakan dan izin IAM di IAM Panduan Pengguna.

  • Gunakan ketentuan dalam IAM kebijakan untuk membatasi akses lebih lanjut — Anda dapat menambahkan kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Misalnya, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakanSSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik AWS layanan, seperti AWS CloudFormation. Untuk informasi selengkapnya, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.

  • Gunakan IAM Access Analyzer untuk memvalidasi IAM kebijakan Anda guna memastikan izin yang aman dan fungsional — IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan mematuhi bahasa IAM kebijakan () JSON dan praktik terbaik. IAM IAMAccess Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat Validasi kebijakan IAM Access Analyzer di IAMPanduan Pengguna.

  • Memerlukan otentikasi multi-faktor (MFA) - Jika Anda memiliki skenario yang mengharuskan IAM pengguna atau pengguna root di dalam Anda Akun AWS, aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA kapan API operasi dipanggil, tambahkan MFA kondisi ke kebijakan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi API akses MFA yang dilindungi di IAMPanduan Pengguna.

Untuk informasi selengkapnya tentang praktik terbaik diIAM, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

EventBridge Izin penjadwal

Agar IAM prinsipal (pengguna, grup, atau peran) dapat membuat jadwal di EventBridge Penjadwal dan mengakses sumber EventBridge Penjadwal melalui konsol atauAPI, prinsipal harus memiliki serangkaian izin yang ditambahkan ke kebijakan izin mereka. Anda dapat mengonfigurasi izin ini tergantung pada fungsi pekerjaan kepala sekolah. Misalnya, pengguna, atau peran, yang hanya menggunakan konsol EventBridge Scheduler untuk melihat daftar jadwal yang ada tidak perlu memiliki izin yang diperlukan untuk memanggil operasi. CreateSchedule API Sebaiknya sesuaikan izin berbasis identitas Anda untuk hanya memberikan akses istimewa yang paling sedikit.

Daftar berikut menunjukkan sumber daya EventBridge Scheduler, dan tindakan yang didukung terkait.

  • Jadwal

    • scheduler:ListSchedules

    • scheduler:GetSchedule

    • scheduler:CreateSchedule

    • scheduler:UpdateSchedule

    • scheduler:DeleteSchedule

  • Jadwalkan grup

    • scheduler:ListScheduleGroups

    • scheduler:GetScheduleGroup

    • scheduler:CreateScheduleGroup

    • scheduler:DeleteScheduleGroup

    • scheduler:ListTagsForResource

    • scheduler:TagResource

    • scheduler:UntagResource

Anda dapat menggunakan izin EventBridge Scheduler untuk membuat kebijakan terkelola pelanggan Anda sendiri untuk digunakan dengan EventBridge Scheduler. Anda juga dapat menggunakan kebijakan AWS terkelola yang dijelaskan di bagian berikut untuk memberikan izin yang diperlukan untuk kasus penggunaan umum tanpa harus mengelola kebijakan Anda sendiri.

AWS kebijakan terkelola untuk EventBridge Scheduler

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang AWS membuat, dan mengelola. Kebijakan terkelola, atau yang ditentukan sebelumnya memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna. Kebijakan AWS terkelola berikut yang dapat Anda lampirkan ke pengguna di akun Anda khusus untuk EventBridge Scheduler:

AmazonEventBridgeSchedulerFullAccess

Kebijakan AmazonEventBridgeSchedulerFullAccess terkelola memberikan izin untuk menggunakan semua tindakan EventBridge Penjadwal untuk jadwal, dan grup jadwal. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "scheduler:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

AmazonEventBridgeSchedulerReadOnlyAccess

Kebijakan AmazonEventBridgeSchedulerReadOnlyAccess terkelola memberikan izin hanya-baca untuk melihat detail tentang jadwal dan grup jadwal Anda. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "scheduler:ListSchedules",
                "scheduler:ListScheduleGroups",
                "scheduler:GetSchedule",
                "scheduler:GetScheduleGroup",
                "scheduler:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan terkelola pelanggan untuk EventBridge Scheduler

Gunakan contoh berikut untuk membuat kebijakan terkelola pelanggan Anda sendiri untuk EventBridge Scheduler. Kebijakan terkelola pelanggan memungkinkan Anda memberikan izin hanya untuk tindakan dan sumber daya yang diperlukan untuk aplikasi dan pengguna di tim Anda sesuai dengan fungsi pekerjaan kepala sekolah.

Contoh: CreateSchedule

Ketika Anda membuat jadwal baru, Anda memilih apakah akan mengenkripsi data Anda di EventBridge Scheduler menggunakan Kunci milik AWS, atau kunci yang dikelola pelanggan.

Kebijakan berikut memungkinkan kepala sekolah untuk membuat jadwal dan menerapkan enkripsi menggunakan file Kunci milik AWS. Dengan Kunci milik AWS, AWS mengelola sumber daya on AWS Key Management Service (AWS KMS) untuk Anda sehingga Anda tidak memerlukan izin tambahan untuk berinteraksi AWS KMS. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:CreateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Gunakan kebijakan berikut untuk mengizinkan prinsipal membuat jadwal dan menggunakan kunci yang dikelola AWS KMS pelanggan untuk enkripsi. Untuk menggunakan kunci yang dikelola pelanggan, kepala sekolah harus memiliki izin untuk mengakses AWS KMS sumber daya di akun Anda. Kebijakan ini memberikan akses ke satu KMS kunci tertentu yang akan digunakan untuk mengenkripsi data pada EventBridge Scheduler. Atau, Anda dapat menggunakan karakter wildcard (*) untuk memberikan akses ke semua kunci di akun, atau subset yang cocok dengan pola nama tertentu. 

{
    "Version": "2012-10-17"
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:CreateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:kms:us-west-2:123456789012:key/my-key-id"
            ],
            "Conditions": {
                "StringLike": {
                    "kms:ViaService": "scheduler.amazonaws.com",
                    "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            }
        }
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Contoh: GetSchedule

Gunakan kebijakan berikut untuk memungkinkan kepala sekolah mendapatkan informasi tentang jadwal. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:GetSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        }
    ]
}

Contoh: UpdateSchedule

Gunakan kebijakan berikut untuk mengizinkan prinsipal memperbarui jadwal dengan memanggil scheduler:UpdateSchedule tindakan. Mirip denganCreateSchedule, kebijakan tergantung pada apakah jadwal menggunakan AWS KMS Kunci milik AWS atau kunci yang dikelola pelanggan untuk enkripsi. Untuk jadwal yang dikonfigurasi dengan Kunci milik AWS, gunakan kebijakan berikut: 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:UpdateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Untuk jadwal yang dikonfigurasi dengan kunci terkelola pelanggan, gunakan kebijakan berikut. Kebijakan ini mencakup izin tambahan yang memungkinkan prinsipal mengakses AWS KMS sumber daya di akun Anda: 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:UpdateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name
        },
        {
            "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:kms:us-west-2:123456789012:key/my-key-id"
            ],
            "Conditions": {
                "StringLike": {
                    "kms:ViaService": "scheduler.amazonaws.com",
                    "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            }
        }
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Contoh: DeleteScheduleGroup

Gunakan kebijakan berikut untuk mengizinkan kepala sekolah menghapus grup jadwal. Saat menghapus grup, Anda juga menghapus jadwal yang terkait dengan grup tersebut. Prinsipal yang menghapus grup harus memiliki izin untuk juga menghapus jadwal yang terkait dengan grup itu. Kebijakan ini memberikan izin utama untuk memanggil scheduler:DeleteScheduleGroup tindakan pada kelompok jadwal yang ditentukan, serta semua jadwal dalam grup:

catatan

EventBridge Scheduler tidak mendukung menentukan izin tingkat sumber daya untuk jadwal individu. Misalnya, pernyataan berikut tidak valid dan tidak boleh disertakan dalam kebijakan Anda:

"Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "scheduler:DeleteSchedule",
            "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/*"
        },
        {
            "Effect": "Allow",
            "Action": "scheduler:DeleteScheduleGroup",
            "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

AWS pembaruan kebijakan terkelola

Perubahan Deskripsi Tanggal

AmazonEventBridgeSchedulerFullAccess— Kebijakan terkelola baru

EventBridge Scheduler menambahkan dukungan untuk kebijakan terkelola baru yang memberi pengguna akses penuh ke semua sumber daya, termasuk jadwal, dan grup jadwal.

10 November 2022

AmazonEventBridgeSchedulerReadOnlyAccess— Kebijakan terkelola baru

EventBridge Scheduler menambahkan dukungan untuk kebijakan terkelola baru yang memberi pengguna akses hanya-baca ke semua sumber daya, termasuk jadwal, dan grup jadwal.

10 November 2022

EventBridge Scheduler mulai melacak perubahan

EventBridge Scheduler mulai melacak perubahan untuk kebijakan yang AWS dikelola.

10 November 2022