Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge - Amazon EventBridge
Risorse e operazioniProprietà delle risorseGestione dell'accesso alle risorseSpecificare elementi delle policy: azioni, effetti e principaliSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge

È possibile gestire l'accesso a EventBridge risorse come regole o eventi utilizzando politiche basate sull'identità o sulle risorse.

EventBridge risorse

EventBridge alle risorse e alle sottorisorse sono associati Amazon Resource Names (ARNs) univoci. Si usa ARNs in EventBridge per creare modelli di eventi. Per ulteriori informazioni suARNs, consulta Amazon Resource Names (ARN) e AWS Service Namespaces nel. Riferimenti generali di Amazon Web Services

Per un elenco delle operazioni che EventBridge prevede l'utilizzo delle risorse, consulta. Riferimento alle EventBridge autorizzazioni Amazon

Nota

La maggior parte dei servizi considera i due punti (:) o una barra (/) come lo stesso carattere inARNs. AWS Tuttavia, EventBridge utilizza una corrispondenza esatta nei modelli e nelle regole degli eventi. Assicurati di utilizzare i ARN caratteri corretti quando crei i modelli di eventi in modo che corrispondano alla ARN sintassi dell'evento a cui desideri abbinare.

La tabella seguente mostra le risorse in EventBridge.

Tipo di risorsa ARNFormato

Archive (Archivia)

arn:aws:events:region:account:archive/archive-name

Riproduci di nuovo

arn:aws:events:region:account:replay/replay-name

Regola

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Router di eventi

arn:aws:events:region:account:event-bus/event-bus-name

Tutte le EventBridge risorse

arn:aws:events:*

Tutte EventBridge le risorse di proprietà dell'account specificato nella regione specificata

arn:aws:events:region:account:*

L'esempio seguente mostra come indicare una regola specifica (myRule) nella tua dichiarazione usando la suaARN.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Per specificare tutte le regole appartenenti a un determinato account utilizzando il carattere jolly asterisco (*) come descritto di seguito.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Per specificare tutte le risorse, o se un'APIazione specifica non supportaARNs, usa il carattere jolly asterisco (*) nell'Resourceelemento come segue.

"Resource": "*"

Per specificare più risorse o PutTargets in un'unica istruzione, separale ARNs con virgole come segue.

"Resource": ["arn1", "arn2"]

Proprietà delle risorse

Un account è proprietario delle risorse che include, indipendentemente da chi le crea. Il proprietario della risorsa è l'account dell'entità principale, l'utente root dell'account, un IAM utente o un ruolo che autentica la richiesta di creazione della risorsa. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le credenziali dell'utente root del tuo account per creare una regola, quest'ultimo è il proprietario della risorsa. EventBridge

  • Se crei un utente nel tuo account e concedi le autorizzazioni per creare EventBridge risorse a quell'utente, l'utente può creare EventBridge risorse. Tuttavia, il tuo account, a cui appartiene l'utente, possiede le EventBridge risorse.

  • Se crei un IAM ruolo nel tuo account con le autorizzazioni per creare EventBridge risorse, chiunque possa assumere il ruolo può creare EventBridge risorse. Il tuo account, a cui appartiene il ruolo, possiede le EventBridge risorse.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

In questa sezione viene illustrato l'utilizzo IAM nel contesto di EventBridge. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM politiche, vedere il riferimento alle IAM politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità vengono definite politiche basate sull'identità (politiche) e le IAM politiche allegate a una risorsa sono denominate politiche basate sulle risorse. In EventBridge, è possibile utilizzare sia politiche basate sull'identità (politiche) che politiche basate sulle risorse. IAM

Politiche basate sull'identità (politiche) IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account: per concedere a un utente l'autorizzazione a visualizzare le regole nella CloudWatch console Amazon, allega una politica di autorizzazioni a un utente o gruppo a cui appartiene l'utente.

  • Allega una politica di autorizzazioni a un ruolo (concedi autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni per più account. IAM Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account B o a un servizio nel modo seguente: AWS

    1. L'amministratore dell'account A crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede l'autorizzazione sulle risorse dell'account A.

    2. L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.

    3. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del servizio che concede a un AWS AWS servizio l'autorizzazione necessaria per assumere il ruolo.

    Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, vedere Gestione degli accessi nella Guida per l'utente. IAM

Puoi creare IAM politiche specifiche per limitare le chiamate e le risorse a cui gli utenti del tuo account hanno accesso e quindi allegare tali politiche agli utenti. Per ulteriori informazioni su come creare IAM ruoli e per esplorare esempi di dichiarazioni IAM politiche EventBridge, consultaGestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge.

Politiche (politiche) basate sulle risorse IAM

Quando una regola viene eseguita EventBridge, vengono richiamate tutte le destinazioni associate alla regola, il che significa richiamare le AWS Lambda funzioni, pubblicare SNS sugli argomenti di Amazon o inoltrare l'evento ai flussi di Amazon Kinesis. Per effettuare API chiamate sulle risorse di tua proprietà, EventBridge è necessaria l'autorizzazione appropriata. Per le risorse LambdaSNS, Amazon e Amazon, EventBridge utilizza SQS politiche basate sulle risorse. Per gli stream Kinesis, EventBridge utilizza i ruoli. IAM

Per ulteriori informazioni su come creare IAM ruoli e per esplorare esempi di dichiarazioni politiche basate sulle risorse, consulta. EventBridge Utilizzo di politiche basate sulle risorse per Amazon EventBridge

Specificare elementi delle policy: azioni, effetti e principali

Per ogni EventBridge risorsa, EventBridge definisce un insieme di API operazioni. Per concedere le autorizzazioni per queste API operazioni, EventBridge definisce una serie di azioni che è possibile specificare in una politica. Alcune API operazioni richiedono le autorizzazioni per più di un'azione per eseguire l'APIoperazione. Per ulteriori informazioni su risorse e API operazioni, vedere EventBridge risorse eRiferimento alle EventBridge autorizzazioni Amazon.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: utilizza un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta EventBridge risorse.

  • Azione: utilizza parole chiave per identificare le operazioni sulle risorse da consentire o negare. Ad esempio, l'autorizzazione events:Describe concede all'utente le autorizzazioni per eseguire l'operazione Describe.

  • Effetto: specifica allow o deny. Se non concedi esplicitamente (allow) l'accesso a una risorsa, l'accesso viene negato. È anche possibile negare esplicitamente l'accesso a una risorsa, per garantire che un utente non possa accedervi, anche se un'altra policy concede l'accesso.

  • Principio: nelle politiche basate sull'identità (IAMpolicy), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle politiche, vedere IAM IAMJSONPolicy Reference nella Guida per l'utente. IAM

Per informazioni sulle EventBridge API azioni e sulle risorse a cui si applicano, vedereRiferimento alle EventBridge autorizzazioni Amazon.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.

Per definire le condizioni, si utilizzano chiavi di condizione. Esistono chiavi di AWS condizione e chiavi EventBridge specifiche che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle AWS chiavi, consulta Available Keys for Conditions nella Guida per l'IAMutente. Per un elenco completo di tasti EventBridge specifici, vedereUtilizzo IAM delle condizioni di polizza in Amazon EventBridge.