decryptResult = crypto.decryptData(kmsMasterKeyProvider, encryptedByteArray);
final byte[] decryptedByteArray = decryptResult.getResult();
// Decode the event json plaintext from byte array into string with UTF_8 standard.
String eventJson = new String(decryptedByteArray, StandardCharsets.UTF_8);
```
# Crittografia dei dati di EventBridge Pipes con chiavi AWS KMS
È possibile specificare di EventBridge utilizzare una chiave gestita dal cliente per crittografare i dati delle pipe archiviati a riposo, anziché utilizzare un Chiave di proprietà di AWS as come impostazione predefinita. È possibile specificare una chiave gestita dal cliente quando si crea o si aggiorna una pipe. Per ulteriori informazioni sui tipi di chiave, vedere[Opzioni chiave KMS](eb-encryption-at-rest-key-options.md).
La EventBridge crittografia dei dati Pipe at Rest include:
+ [Schemi di eventi](eb-event-patterns.md)
+ [Trasformatori di ingresso](eb-pipes-input-transformation.md)
Gli eventi che fluiscono attraverso una tubazione non vengono mai immagazzinati a riposo.
## EventBridge Contesto di crittografia delle pipe
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.
È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.
Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Per EventBridge Pipes, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Il contesto include una singola coppia chiave-valore, che contiene l'ARN della pipe.
```
"encryptionContext": {
"kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```
Per i log venduti, EventBridge utilizza il seguente contesto di crittografia.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS politica chiave per Pipes EventBridge
La seguente policy chiave di esempio fornisce le autorizzazioni necessarie per una pipe:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Come best practice di sicurezza, consigliamo di includere le chiavi delle condizioni nella policy chiave per garantire che la AWS KMS chiave venga EventBridge utilizzata solo per la risorsa o l'account specificati. Per ulteriori informazioni, consulta [Considerazioni relative alla sicurezza](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": [
"aws:pipe:arn"
]
}
}
}
]
}
```
------
### Autorizzazioni per i log delle pipe che includono dati di esecuzione
Se la registrazione delle pipe è stata configurata per includere i dati di esecuzione, la policy chiave deve includere le seguenti autorizzazioni per il servizio di registrazione:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Per ulteriori informazioni, consulta [Inclusione dei dati di esecuzione nei log di EventBridge Pipes](eb-pipes-logs.md#eb-pipes-logs-execution-data).
Il seguente esempio di policy chiave fornisce le autorizzazioni necessarie per la registrazione delle pipe:
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Inoltre, il ruolo di esecuzione delle pipe richiede l'`kms:GenerateDataKey`autorizzazione.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/pipe-execution-role"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Il ruolo di esecuzione delle pipe dovrebbe includere anche:
```
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-arn",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
```
# Configurazione della crittografia in Pipes EventBridge
È possibile specificare la chiave KMS EventBridge da utilizzare quando si crea o si aggiorna una pipe.
## Specificare la AWS KMS chiave utilizzata per la crittografia durante la creazione di una pipe
La scelta della AWS KMS chiave utilizzata per la crittografia è un'opzione che consente di creare una pipe. L'impostazione predefinita prevede l'utilizzo del Chiave di proprietà di AWS file fornito da EventBridge.
**Per specificare una chiave di crittografia gestita dal cliente durante la creazione di una pipe (console)**
+ Segui queste istruzioni:
[Creazione di una pipe](eb-pipes-create.md).
**Per specificare una chiave gestita dal cliente per la crittografia durante la creazione di una pipe (CLI)**
+ Durante la chiamata`[create-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/create-pipe.html)`, utilizzate l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per la crittografia sul bus degli eventi.
## Aggiornamento della AWS KMS chiave utilizzata per la crittografia su EventBridge Pipes
È possibile aggiornare la AWS KMS chiave utilizzata per la crittografia inattiva su una pipe esistente. Questo include:
+ Passaggio dalla chiave predefinita Chiave di proprietà di AWS a una chiave gestita dal cliente.
+ Passaggio da una chiave gestita dal cliente a quella predefinita Chiave di proprietà di AWS.
+ Passaggio da una chiave gestita dal cliente a un'altra.
Quando si aggiorna una pipe per utilizzare una AWS KMS chiave diversa, EventBridge decripta tutti i dati memorizzati nella pipe e quindi li crittografa utilizzando la nuova chiave.
**Per aggiornare la chiave KMS utilizzata per la crittografia su una pipe (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Nel riquadro di navigazione, scegli **Pipe**.
1. Scegli la pipe che desideri aggiornare.
1. Nella pagina dei dettagli del pipe bus, scegliete la scheda **Encryption**.
1. Scegliete la chiave KMS EventBridge da utilizzare per crittografare i dati memorizzati su pipe:
+ Scegli **Usa Chiave di proprietà di AWS** per EventBridge crittografare i dati utilizzando un. Chiave di proprietà di AWS
Si Chiave di proprietà di AWS tratta di una chiave KMS che EventBridge possiede e gestisce per essere utilizzata in più AWS account. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta.
Questa è l’impostazione predefinita.
+ Scegli **Usa chiave gestita dal cliente** per EventBridge crittografare i dati utilizzando la chiave gestita dal cliente che hai specificato o creato.
Le chiavi gestite dal cliente sono chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su queste chiavi KMS.
1. Specificate una chiave gestita dal cliente esistente o scegliete **Crea una nuova chiave KMS**.
EventBridge visualizza lo stato della chiave e tutti gli alias chiave associati alla chiave gestita dal cliente specificata.
**Per aggiornare la chiave KMS utilizzata per la crittografia su una pipe (CLI)**
+ Durante la chiamata`[update-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/update-pipe.html)`, utilizzate l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per crittografare i dati delle pipe.
# Crittografia EventBridge degli archivi con chiavi AWS KMS
È possibile specificare di EventBridge utilizzare chiave gestita dal cliente a per crittografare gli eventi archiviati in un archivio, anziché utilizzare un Chiave di proprietà di AWS as come impostazione predefinita. È possibile specificare un chiave gestita dal cliente quando si crea o si aggiorna un archivio. Per ulteriori informazioni sui tipi di chiave, vedere[Opzioni chiave KMS](eb-encryption-at-rest-key-options.md).
Questo include:
+ Eventi archiviati nell'archivio
+ Lo schema degli eventi, se presente, specificato per filtrare gli eventi inviati all'archivio
Questo non include i metadati dell'archivio, come la dimensione dell'archivio o il numero di eventi che contiene.
Se si specifica una chiave gestita dal cliente per un archivio, EventBridge crittografa gli eventi prima di inviarli all'archivio, garantendo la crittografia in transito e a riposo.
## Contesto di crittografia dell'archivio
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.
È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.
Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Per gli archivi degli eventi, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Il contesto include una singola coppia chiave-valore, che contiene l'ARN del bus di eventi.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS politica chiave per gli archivi
La seguente politica chiave di esempio fornisce le autorizzazioni necessarie per un archivio di eventi:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
Come best practice di sicurezza, ti consigliamo di includere le chiavi delle condizioni nella politica chiave per garantire che la chiave KMS venga EventBridge utilizzata solo per la risorsa o l'account specificati. Per ulteriori informazioni, consulta [Considerazioni relative alla sicurezza](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------
# Configurazione della crittografia negli archivi
È possibile specificare la chiave KMS EventBridge da utilizzare quando si crea o si aggiorna un archivio.
## Specificare la crittografia durante la creazione di un archivio
La scelta della AWS KMS chiave utilizzata per la crittografia è un'opzione che consente di creare un archivio. L'impostazione predefinita prevede l'utilizzo del Chiave di proprietà di AWS file fornito da EventBridge.
**Specificare un chiave gestita dal cliente metodo di crittografia durante la creazione di un archivio (console)**
+ Segui queste istruzioni:
[Creazione di archivi](eb-archive-event.md).
**Per specificare un metodo chiave gestita dal cliente di crittografia durante la creazione di un archivio (CLI)**
+ Durante la chiamata`[create-archive](https://docs.aws.amazon.com/cli/latest/reference/events/create-archive.html)`, utilizzate l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per crittografare gli eventi archiviati nell'archivio.
## Aggiornamento della crittografia negli archivi
È possibile aggiornare la AWS KMS chiave utilizzata per la crittografia inattiva su un archivio esistente. Questo include:
+ Passaggio dal valore predefinito Chiave di proprietà di AWS a un chiave gestita dal cliente.
+ Passaggio da a chiave gestita dal cliente a quello predefinito Chiave di proprietà di AWS.
+ Passare da uno chiave gestita dal cliente all'altro.
**Per aggiornare quello KMS key utilizzato per crittografare gli eventi in un archivio (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Accedi direttamente all'archivio o dal bus degli eventi di origine:
+ Nel riquadro di navigazione, scegliere **Event history (Cronologia eventi)**.
Nella pagina dei dettagli del bus degli eventi, scegli la scheda **Archivi**.
+ Nel riquadro di navigazione, scegli **Archivi**.
1. Scegli l'archivio che desideri aggiornare.
1. Nella pagina dei dettagli dell'archivio, scegli la scheda **Crittografia**.
1. Scegli la KMS key modalità EventBridge da utilizzare per crittografare gli eventi archiviati nell'archivio.
**Importante**
Se hai specificato di EventBridge utilizzare una chiave gestita dal cliente per crittografare il bus degli eventi di origine, ti consigliamo vivamente di specificare anche una chiave gestita dal cliente per tutti gli archivi per il bus degli eventi.
+ Scegli **Usa Chiave di proprietà di AWS** per EventBridge crittografare i dati utilizzando un. Chiave di proprietà di AWS
Si Chiave di proprietà di AWS tratta di un account KMS key che EventBridge possiede e gestisce per l'utilizzo in più AWS account. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta.
Questa è l’impostazione predefinita.
+ Scegliete **Usa chiave gestita dal cliente** EventBridge per crittografare i dati utilizzando chiave gestita dal cliente quello che avete specificato o creato.
Chiavi gestite dal cliente sono KMS keys nel tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su questi KMS keys.
1. Specificane uno esistente chiave gestita dal cliente o scegli **Crea un nuovo KMS key**.
EventBridge visualizza lo stato della chiave e tutti gli alias chiave che sono stati associati a quella specificata chiave gestita dal cliente.
**Per aggiornare gli eventi KMS key utilizzati per la crittografia degli eventi archiviati in un archivio (CLI)**
+ Durante la chiamata`[update-archive](https://docs.aws.amazon.com/cli/latest/reference/events/update-archive.html)`, utilizzate l'`kms-key-identifier`opzione per specificare il modulo EventBridge da utilizzare chiave gestita dal cliente per crittografare gli eventi archiviati nell'archivio.
# Crittografia dell'autorizzazione EventBridge alla connessione con chiavi AWS KMS
Quando si crea o si aggiorna una connessione, è possibile specificare i parametri di autorizzazione per tale connessione. EventBridge quindi archivia in modo sicuro tali parametri in un archivio segreto. Gestione dei segreti AWS Per impostazione predefinita, EventBridge utilizza an Chiave di proprietà di AWS per crittografare e decrittografare questo segreto. È possibile specificare di EventBridge utilizzare invece una chiave gestita dal cliente.
## AWS KMS politica chiave per le connessioni
La politica AWS KMS chiave deve concedere EventBridge le seguenti autorizzazioni per conto dell'utente:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Il seguente esempio di policy concede tutte le AWS KMS autorizzazioni.
------
#### [ JSON ]
****
```
{
"Id": "key-policy-example",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
EventBridge Per utilizzare una chiave gestita dal cliente, è necessario aggiungere un tag di risorsa alla chiave con una chiave `EventBridgeApiDestinations` e un valore di. `true` Per ulteriori informazioni sui tag delle risorse, consulta [Aggiungere tag a una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/add-tags.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
Come best practice di sicurezza, ti consigliamo di includere le chiavi di condizione nella politica chiave per garantire che la chiave KMS venga EventBridge utilizzata solo per la risorsa o l'account specificati. Per ulteriori informazioni, consulta [Considerazioni relative alla sicurezza](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
```
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com",
"kms:EncryptionContext:SecretARN": [
"arn:aws:secretsmanager:*:*:secret:events!connection/*"
]
},
"StringEquals": {
"kms:ResourceTag/EventBridgeApiDestinations": "true"
}
}
```
## Contesto di crittografia della connessione
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.
È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.
Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Per le connessioni, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Il contesto include una singola coppia chiave-valore, che contiene l'ARN segreto.
```
"encryptionContext": {
"kms:EncryptionContext:SecretARN": "secret-arn"
}
```
## Utilizzo di chiavi gestite dal cliente su più account o più regioni per le connessioni
Puoi consentire agli utenti o ai ruoli di un altro AWS account di utilizzare una chiave KMS nel tuo account. L'accesso tra account richiede l'autorizzazione nella policy chiave della chiave dKMS e in una policy IAM nell'account dell'utente esterno.
Per utilizzare una chiave gestita dal cliente proveniente da un altro account, l'account con la chiave gestita dal cliente deve includere la seguente politica:
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Per ulteriori informazioni, consulta [Consentire agli utenti di altri account di utilizzare una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
## Revoca dell'accesso chiave gestito dal cliente alle connessioni
Tieni presente che quando revochi una chiave gestita dal cliente, disabilitando, eliminando o ruotando la chiave o aggiornando la politica della chiave, EventBridge potresti aver memorizzato il valore della chiave nella cache e quindi quella chiave potrebbe continuare a mantenere l'accesso al segreto di una connessione per un breve periodo di tempo.
Per revocare immediatamente l'accesso tramite chiave gestita dal cliente al segreto di una connessione, annulla l'autorizzazione o elimina la connessione. Per ulteriori informazioni, consultare [Rimozione dell'autorizzazione delle connessioni](eb-target-connection-deauthorize.md) e [Eliminazione di connessioni](eb-target-connection-delete.md).
## Annullamento dell'autorizzazione della connessione a causa di errori chiave gestiti dal cliente
EventBridge annulla l'autorizzazione di una connessione se rileva i seguenti errori durante il tentativo di crittografare o decrittografare il segreto della connessione:
+ La chiave gestita dal cliente è stata eliminata.
+ La chiave gestita dal cliente è stata disabilitata.
+ La connessione non dispone delle autorizzazioni necessarie per accedere alla chiave gestita dal cliente.
Per ulteriori informazioni, consulta [Rimozione dell'autorizzazione delle connessioni](eb-target-connection-deauthorize.md).
# Configurazione della crittografia sulle connessioni
È possibile specificare la chiave KMS EventBridge da utilizzare quando si crea o si aggiorna una connessione.
## Specificare le AWS KMS chiavi durante la creazione di connessioni
La scelta della AWS KMS chiave utilizzata per la crittografia è facoltativa quando si crea una connessione. Per impostazione predefinita, EventBridge utilizza un Chiave di proprietà di AWS.
**Per specificare una chiave di crittografia gestita dal cliente durante la creazione di una connessione (console)**
+ Segui queste istruzioni:
[Creazione di connessioni](eb-target-connection-create.md).
**Per specificare una chiave gestita dal cliente per la crittografia durante la creazione di una connessione (CLI)**
+ Durante la chiamata`[create-connection](https://docs.aws.amazon.com/cli/latest/reference/events/create-connection.html)`, utilizzate l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per la crittografia del segreto della connessione.
## Aggiornamento delle AWS KMS chiavi per le connessioni
È possibile aggiornare la chiave KMS utilizzata per crittografare una connessione esistente. Questo include:
+ Passaggio dalla chiave predefinita Chiave di proprietà di AWS a una chiave gestita dal cliente.
+ Passaggio da una chiave gestita dal cliente a quella predefinita Chiave di proprietà di AWS.
+ Passaggio da una chiave gestita dal cliente a un'altra.
Quando aggiorni una connessione per utilizzare una chiave KMS diversa, EventBridge decripta il segreto della connessione e quindi lo crittografa utilizzando la nuova chiave. Assicurati che la chiave KMS specificata disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta [politica delle chiavi di connessione](encryption-connections.md#encryption-connections-key-policy).
**Per aggiornare la chiave KMS utilizzata per la crittografia su una connessione (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Nel riquadro di navigazione, scegli **Integrazione**, quindi scegli **Connessioni**.
1. Scegli la connessione che desideri aggiornare.
1. Nella pagina dei dettagli della connessione, in **Crittografia**, scegli la chiave KMS EventBridge da utilizzare per crittografare il segreto della connessione:
+ Scegli **Usa Chiave di proprietà di AWS** per EventBridge crittografare il segreto utilizzando un. Chiave di proprietà di AWS
Si Chiave di proprietà di AWS tratta di una chiave KMS che EventBridge possiede e gestisce per essere utilizzata in più AWS account. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta.
Questa è l’impostazione predefinita.
+ **Scegliete una AWS KMS chiave diversa (avanzata)** per EventBridge crittografare il segreto utilizzando la chiave gestita dal cliente che specificate o create.
Le chiavi gestite dal cliente sono chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su queste KMS keys.
1. Specificate una chiave gestita dal cliente esistente o scegliete **Creane una nuova KMS key**.
Assicurati che la chiave KMS specificata disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta [politica delle chiavi di connessione](encryption-connections.md#encryption-connections-key-policy).
EventBridge visualizza lo stato della chiave e tutti gli alias chiave associati alla chiave gestita dal cliente specificata.
**Per aggiornare la chiave KMS utilizzata per la crittografia su una connessione (CLI)**
+ Durante la chiamata`[update-connection](https://docs.aws.amazon.com/cli/latest/reference/events/update-connection.html)`, utilizza l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per crittografare il segreto della connessione.
# Politiche basate su tag in Amazon EventBridge
In Amazon EventBridge, puoi utilizzare politiche basate su tag per controllare l'accesso alle risorse.
Ad esempio, è possibile limitare l'accesso alle risorse che includono un tag con la chiave `environment` e il valore `production`. La policy di esempio seguente nega a qualsiasi risorsa con tale tag di creare, eliminare o modificare tag, regole o router di eventi per le risorse contrassegnate con il tag `environment/production`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"events:PutRule",
"events:DescribeRule",
"events:DeleteRule",
"events:CreateEventBus",
"events:DescribeEventBus",
"events:DeleteEventBus"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "production"
}
}
}
]
}
```
------
Per ulteriori informazioni sul tagging, consulta:
+ [Etichettare le risorse in Amazon EventBridge](eb-tagging.md)
+ [Controllo degli accessi tramite tag IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)
# Amazon EventBridge e AWS Identity and Access Management
Per accedere ad Amazon EventBridge, hai bisogno di credenziali da AWS utilizzare per autenticare le tue richieste. Le tue credenziali devono disporre delle autorizzazioni per accedere alle AWS risorse, ad esempio recuperare i dati degli eventi da altre risorse. AWS Le sezioni seguenti forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e su come EventBridge proteggere le risorse controllando chi può accedervi.
**Topics**
+ [Autenticazione](#eb-authentication)
+ [Controllo accessi](#eb-access-control)
+ [Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge](eb-manage-iam-access.md)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon EventBridge](eb-use-identity-based.md)
+ [Utilizzo di politiche basate sulle risorse per Amazon EventBridge](eb-use-resource-based.md)
+ [Prevenzione interservizio confusa su più servizi in Amazon EventBridge](cross-service-confused-deputy-prevention.md)
+ [Politiche basate sulle risorse per gli schemi Amazon EventBridge](eb-resource-based-schemas.md)
+ [Riferimento alle EventBridge autorizzazioni Amazon](eb-permissions-reference.md)
+ [Utilizzo delle condizioni delle policy IAM in Amazon EventBridge](eb-use-conditions.md)
+ [Utilizzo di ruoli collegati ai servizi per EventBridge](using-service-linked-roles.md)
## Autenticazione
Puoi accedere AWS con uno qualsiasi dei seguenti tipi di identità:
+ **AWS utente root dell'account**: quando ti registri AWS, fornisci un indirizzo email e una password associati al tuo account. Queste sono le tue *credenziali di root* e forniscono l'accesso completo a tutte le tue AWS risorse.
**Importante**
Per motivi di sicurezza, consigliamo di utilizzare le credenziali root solo per creare un *amministratore*, ovvero un *utente IAM* con autorizzazioni complete per il tuo account. Potrai quindi utilizzare questo amministratore per creare altri utenti e ruoli con autorizzazioni limitate. Per ulteriori informazioni consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) e l'argomento relativo alla [creazione di un gruppo e un utente admin](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*.
+ **Utente IAM**: un [utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) è un'identità all'interno del tuo account che dispone di autorizzazioni specifiche, ad esempio l'autorizzazione a inviare i dati degli eventi a una destinazione in. EventBridge [Puoi utilizzare le credenziali di accesso IAM per accedere a AWS pagine Web sicure come [AWS Discussion Forum](https://forums.aws.amazon.com/) o Center. [Console di gestione AWS](https://console.aws.amazon.com/)Supporto AWS](https://console.aws.amazon.com/support/home#/)
Inoltre, puoi generare le [chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) per ogni utente. [Puoi utilizzare queste chiavi quando accedi ai AWS servizi in modo programmatico per firmare crittograficamente la tua richiesta, tramite [una delle o utilizzando il SDKs](https://aws.amazon.com/tools/) ().AWS Command Line InterfaceAWS CLI](https://aws.amazon.com/cli/) Se non utilizzi gli strumenti AWS , devi firmare la richiesta tu stesso con *Signature Version 4*, un protocollo di autenticazione delle richieste API in entrata. Per ulteriori informazioni sulle richieste di autenticazione, consulta la pagina relativa al [processo di firma Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) nella *Riferimenti generali di Amazon Web Services*.
+ **Ruolo IAM**: un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'altra identità IAM che puoi creare nell'account che dispone di autorizzazioni specifiche. È simile a un *utente IAM*, ma non è associato a una persona specifica. Utilizzando un ruolo IAM, puoi ottenere chiavi di accesso temporanee per accedere a servizi e risorse AWS . I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: anziché creare un utente, è possibile utilizzare le identità della directory utente aziendale o di Directory Service un provider di identità Web (IdP). *Questi sono noti come utenti federati.* AWS [assegna un ruolo a un utente federato quando l'utente richiede l'accesso tramite un provider di identità.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a [utenti federati e ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) nella *Guida per l'utente di IAM*.
+ **Accesso multi-account**: puoi utilizzare un ruolo IAM nel tuo account per concedere a un altro account l'autorizzazione per accedere alle risorse del tuo account. *Per un esempio, consulta [Tutorial: Delegate l'accesso tra AWS account utilizzando i ruoli IAM nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) Guide.*
+ **AWS accesso al servizio**: puoi utilizzare un ruolo IAM nel tuo account per concedere a un AWS servizio l'autorizzazione ad accedere alle risorse del tuo account. Ad esempio, puoi creare un ruolo che consente ad Amazon Redshift di caricare i dati archiviati in un bucket Amazon S3 di un cluster Amazon Redshift. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*.
+ **Applicazioni in esecuzione su Amazon EC2**: per le applicazioni Amazon EC2 che richiedono l'accesso EventBridge a, puoi archiviare le chiavi di accesso nell'istanza EC2 oppure utilizzare un ruolo IAM per gestire le credenziali temporanee. Per assegnare un AWS ruolo a un'istanza EC2, crei un profilo di istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e fornisce credenziali temporanee alle applicazioni in esecuzione nell'istanza EC2. Per ulteriori informazioni, consulta la sezione relativa all'[utilizzo di ruoli per le applicazioni su Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *guida per l'utente IAM*.
## Controllo accessi
Per creare o accedere alle EventBridge risorse, sono necessarie credenziali e autorizzazioni valide. Ad esempio, per richiamare obiettivi AWS Lambda Amazon Simple Notification Service (Amazon SNS) e Amazon Simple Queue Service (Amazon SQS), devi disporre delle autorizzazioni per tali servizi.
# Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge
[È possibile gestire l'accesso a EventBridge risorse come [regole](eb-rules.md) o [eventi](eb-events.md) utilizzando politiche [basate sull'identità o sulle](eb-use-identity-based.md) risorse.](eb-use-resource-based.md)
## EventBridge risorse
EventBridge alle risorse e alle sottorisorse sono associati Amazon Resource Names (ARNs) univoci. Si usa ARNs in EventBridge per creare modelli di eventi. Per ulteriori informazioni su ARNs, consulta [Amazon Resource Names (ARN) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in. *Riferimenti generali di Amazon Web Services*
Per un elenco delle operazioni che EventBridge prevede l'utilizzo delle risorse, consulta. [Riferimento alle EventBridge autorizzazioni Amazon](eb-permissions-reference.md)
**Nota**
La maggior parte dei servizi considera i due punti (`:`) o una barra (`/`) come lo stesso carattere in ARNs. AWS Tuttavia, EventBridge utilizza una corrispondenza esatta nei [modelli e nelle regole degli eventi](eb-event-patterns.md). Utilizzare i caratteri ARN corretti durante la creazione di modelli di eventi, facendo in modo che corrispondano alla sintassi ARN nell'evento da far corrispondere.
La tabella seguente mostra le risorse in EventBridge.
| Tipo di risorsa | Formato ARN |
| --- | --- |
| Archive (Archivia) | `arn:aws:events:region:account:archive/archive-name` |
| Riproduci di nuovo | `arn:aws:events:region:account:replay/replay-name` |
| Regola | `arn:aws:events:region:account:rule/[event-bus-name]/rule-name` |
| Router di eventi | `arn:aws:events:region:account:event-bus/event-bus-name` |
| Tutte le EventBridge risorse | `arn:aws:events:*` |
| Tutte EventBridge le risorse di proprietà dell'account specificato nella regione specificata | `arn:aws:events:region:account:*` |
L'esempio seguente mostra come indicare una regola specifica (*myRule*) nell'istruzione utilizzando il relativo ARN.
```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"
```
Per specificare tutte le regole appartenenti a un determinato account utilizzando il carattere jolly asterisco (\$1) come descritto di seguito.
```
"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"
```
Per specificare tutte le risorse, o se un'azione API specifica non supporta ARNs, utilizzate il carattere jolly asterisco (\$1) nell'`Resource`elemento come segue.
```
"Resource": "*"
```
Per specificare più risorse o `PutTargets` in un'unica istruzione, separale ARNs con virgole come segue.
```
"Resource": ["arn1", "arn2"]
```
## Proprietà delle risorse
Un account è proprietario delle risorse che include, indipendentemente da chi le crea. Il proprietario delle risorse è l'account dell'*[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)*, l'utente root dell'account, un ruolo o un utente IAM che autentica la richiesta per creare la risorsa. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le credenziali utente root del tuo account per creare una regola, l'account è il proprietario della EventBridge risorsa.
+ Se crei un utente nel tuo account e concedi le autorizzazioni per creare EventBridge risorse a quell'utente, l'utente può creare EventBridge risorse. Tuttavia, il tuo account, a cui appartiene l'utente, possiede le EventBridge risorse.
+ Se crei un ruolo IAM nel tuo account con le autorizzazioni per creare EventBridge risorse, chiunque possa assumere il ruolo può creare EventBridge risorse. Il tuo account, a cui appartiene il ruolo, possiede le EventBridge risorse.
## Gestione dell'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di EventBridge. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consultare [Riferimento alle policy IAM di ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Le policy collegate a un'identità IAM vengono definite policy *basate su identità* (policy IAM), mentre quelle collegate a una risorsa vengono definite policy *basate su risorse*. Nel EventBridge, puoi utilizzare sia politiche basate sull'identità (politiche IAM) che politiche basate sulle risorse.
**Topics**
+ [Policy basate su identità (policy IAM)](#eb-identity-based-policies)
+ [Policy basate su risorse (policy IAM)](#eb-resource-based-policies-overview)
### Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account**: per concedere a un utente l'autorizzazione a visualizzare le regole nella CloudWatch console Amazon, allega una politica di autorizzazioni a un utente o gruppo a cui appartiene l'utente.
+ **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account B o a un servizio nel modo seguente: AWS
1. L'amministratore dell'account A crea un ruolo IAM e associa una policy di autorizzazione al ruolo che concede le autorizzazioni per le risorse nell'account A.
1. L'amministratore dell'account A collega una policy di attendibilità al ruolo, identificando l'account B come principale per tale ruolo.
1. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio che concede a un AWS servizio l'autorizzazione necessaria per assumere il ruolo.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
Puoi creare policy IAM specifiche per limitare le chiamate e le risorse a cui hanno accesso gli utenti nel tuo account e quindi associare tali policy agli utenti. Per ulteriori informazioni su come creare ruoli IAM e per esplorare esempi di dichiarazioni politiche IAM EventBridge, consulta. [Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge](#eb-manage-iam-access)
### Policy basate su risorse (policy IAM)
Quando una regola viene eseguita EventBridge, vengono richiamate tutte le [destinazioni](eb-targets.md) associate alla regola, il che significa richiamare AWS Lambda le funzioni, pubblicare gli argomenti su Amazon SNS o inoltrare l'evento ai flussi di Amazon Kinesis. Per effettuare chiamate API sulle risorse di tua proprietà, è necessaria l'autorizzazione appropriata. EventBridge Per le risorse Lambda, Amazon SNS e Amazon SQS, utilizza politiche basate sulle risorse. EventBridge Per gli stream Kinesis, EventBridge utilizza i ruoli IAM.
Per ulteriori informazioni su come creare ruoli IAM e per esplorare esempi di dichiarazioni politiche basate sulle risorse, consulta. EventBridge [Utilizzo di politiche basate sulle risorse per Amazon EventBridge](eb-use-resource-based.md)
## Specificare elementi delle policy: azioni, effetti e principali
Per ogni EventBridge risorsa, EventBridge definisce un set di operazioni API. Per concedere le autorizzazioni per queste operazioni API, EventBridge definisce una serie di azioni che è possibile specificare in una politica. Alcune operazioni API richiedono autorizzazioni per più azioni al fine di eseguire l'operazione API. Per ulteriori informazioni sulle risorse e sulle operazioni delle API, consulta [EventBridge risorse](#eb-arn-format) e [Riferimento alle EventBridge autorizzazioni Amazon](eb-permissions-reference.md).
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: usa un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta [EventBridge risorse](#eb-arn-format).
+ **Azione**: utilizza parole chiave per identificare le operazioni sulle risorse da consentire o negare. Ad esempio, l'autorizzazione `events:Describe` concede all'utente le autorizzazioni per eseguire l'operazione `Describe`.
+ **Effetto**: specifica **allow** o **deny**. Se non concedi esplicitamente (allow) l'accesso a una risorsa, l'accesso viene negato. È anche possibile negare esplicitamente l'accesso a una risorsa, per garantire che un utente non possa accedervi, anche se un'altra policy concede l'accesso.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per informazioni sulla sintassi delle policy IAM e le relative descrizioni, consulta [Riferimento alla policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Per informazioni sulle azioni EventBridge API e sulle risorse a cui si applicano, consulta[Riferimento alle EventBridge autorizzazioni Amazon](eb-permissions-reference.md).
## Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
Per definire le condizioni, si utilizzano chiavi di condizione. Esistono chiavi AWS condizionali e chiavi EventBridge specifiche che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle chiavi AWS , consulta [Chiavi disponibili per le condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *Guida per l'utente di IAM*. Per un elenco completo di chiavi EventBridge specifiche, vedere[Utilizzo delle condizioni delle policy IAM in Amazon EventBridge](eb-use-conditions.md).
# Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon EventBridge
Le policy basate sull'identità sono policy di autorizzazione che puoi allegare alle identità IAM.
## AWS politiche gestite per EventBridge
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da AWS. Le policy *gestite*, dette anche predefinite, concedono le autorizzazioni necessarie per casi d'uso comune, in modo da non dover determinare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite che puoi allegare agli utenti del tuo account sono specifiche per EventBridge:
+ [**AmazonEventBridgeFullAccess**](#eb-full-access-policy)— Garantisce l'accesso completo a EventBridge, inclusi EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
+ [**AmazonEventBridgeReadOnlyAccess**](#eb-read-only-access-policy)— Garantisce l'accesso in sola lettura a EventBridge, inclusi EventBridge Pipes, Schemas e Scheduler. EventBridge EventBridge
## AWS politica gestita: AmazonEventBridgeFullAccess
La AmazonEventBridgeFullAccess politica concede le autorizzazioni per utilizzare tutte le EventBridge azioni, oltre alle seguenti autorizzazioni:
+ `iam:CreateServiceLinkedRole`— EventBridge richiede questa autorizzazione per creare il ruolo di servizio nell'account per le destinazioni API. Questa autorizzazione concede solo le autorizzazioni del servizio IAM per creare un ruolo nel tuo account specificamente per le destinazioni API.
+ `iam:PassRole`— EventBridge richiede questa autorizzazione per passare un ruolo di invocazione per EventBridge richiamare l'obiettivo di una regola.
+ **Autorizzazioni Secrets Manager**: EventBridge richiede queste autorizzazioni per gestire i segreti nel tuo account quando fornisci credenziali tramite la risorsa di connessione per autorizzare le destinazioni API.
*Per visualizzare le autorizzazioni relative a questa policy, consulta il Managed Policy Reference [ AmazonEventBridgeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeFullAccess.html).AWS *
## AWS politica gestita: AmazonEventBridgeReadOnlyAccess
La AmazonEventBridgeReadOnlyAccess politica concede le autorizzazioni per utilizzare tutte le azioni di lettura EventBridge .
Per visualizzare le autorizzazioni per questa politica, consulta il *AWS Managed* Policy [ AmazonEventBridgeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeReadOnlyAccess.html)Reference.
## AWS politica gestita: AmazonEventBridgeApiDestinationsServiceRolePolicy
Non puoi collegarti AmazonEventBridgeApiDestinationsServiceRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente EventBridge le autorizzazioni per accedere alle Gestione dei segreti AWS risorse per tuo conto.
*Per visualizzare le autorizzazioni relative a questa politica, consulta il Managed Policy [ AmazonEventBridgeApiDestinationsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeApiDestinationsServiceRolePolicy.html)Reference.AWS *
## AWS politiche gestite: schemi EventBridge
[Uno schema](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-schema.html) definisce la struttura degli eventi a cui vengono inviati EventBridge. EventBridge fornisce schemi per tutti gli eventi generati dai AWS servizi. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Schemas:
+ [AmazonEventBridgeSchemasFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasFullAccess.html)
Puoi allegare la AmazonEventBridgeSchemasFullAccess policy alle tue identità IAM.
Fornisce accesso completo agli EventBridge schemi.
+ [AmazonEventBridgeSchemasReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasReadOnlyAccess.html)
Puoi allegare la AmazonEventBridgeSchemasReadOnlyAccess policy alle tue identità IAM.
Fornisce accesso in sola lettura agli EventBridge schemi.
+ [AmazonEventBridgeSchemasServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgeSchemasServiceRolePolicy.html)
Non puoi collegarti AmazonEventBridgeSchemasServiceRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente EventBridge le autorizzazioni per le regole gestite create dagli schemi. EventBridge
## AWS politiche gestite: Scheduler EventBridge
Amazon EventBridge Scheduler è uno strumento di pianificazione senza server che consente di creare, eseguire e gestire attività da un unico servizio gestito centralizzato. *Per le policy AWS gestite specifiche di EventBridge Scheduler, consulta le [politiche AWS gestite per Scheduler nella EventBridge Scheduler](https://docs.aws.amazon.com/scheduler/latest/UserGuide/security_iam_id-based-policies.html#security_iam_id-based-policies-managed-policies) User Guide. EventBridge *
## AWS politiche gestite: Pipes EventBridge
EventBridge Pipes collega le sorgenti degli eventi alle destinazioni. Pipes riduce la necessità di conoscenze specialistiche e codice di integrazione per lo sviluppo di architetture basate su eventi. Ciò aiuta a garantire la coerenza tra le applicazioni dell'azienda. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Pipes:
+ [AmazonEventBridgePipesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesFullAccess.html)
Puoi allegare la AmazonEventBridgePipesFullAccess policy alle tue identità IAM.
Fornisce accesso completo a EventBridge Pipes.
**Nota**
Questo criterio prevede`iam:PassRole`: EventBridge Pipes richiede questa autorizzazione per passare un ruolo di invocazione EventBridge per creare e avviare pipe.
+ [AmazonEventBridgePipesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesReadOnlyAccess.html)
Puoi allegare la AmazonEventBridgePipesReadOnlyAccess policy alle tue identità IAM.
Fornisce accesso in sola lettura a Pipes. EventBridge
+ [AmazonEventBridgePipesOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEventBridgePipesOperatorAccess.html)
Puoi allegare la AmazonEventBridgePipesOperatorAccess policy alle tue identità IAM.
Fornisce l'accesso in sola lettura e all'operatore (ovvero la possibilità di arrestare e avviare Pipes) a Pipes. EventBridge
## EventBridge Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite EventBridge da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei EventBridge documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy)— Politica aggiornata | EventBridge politica aggiornata per limitare l'ambito delle autorizzazioni per le operazioni di Secrets Manager allo stesso account. | 29 maggio 2025 |
| [AmazonEventBridgeApiDestinationsServiceRolePolicy](#api-destination-slr-policy)— Politica aggiornata | EventBridge politica aggiornata per concedere le autorizzazioni di AWS KMS crittografia e decrittografia tramite Secrets Manager. Ciò consente di EventBridge aggiornare le risorse segrete di connessione con un nuovo valore del OAuth token quando è richiesto l'aggiornamento del token di accesso. | 28 marzo 2025 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy)— Politica aggiornata | AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 9 maggio 2024 |
| [AmazonEventBridgeSchemasFullAccess](#eb-schemas-access-policies)— Politica aggiornata | AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 9 maggio 2024 |
| [AmazonEventBridgePipesFullAccess](#eb-pipes-access-policies)— Aggiunta una nuova politica | EventBridge aggiunta una politica gestita per le autorizzazioni complete per l'utilizzo di EventBridge Pipes. | 1 dicembre 2022 |
| [AmazonEventBridgePipesReadOnlyAccess](#eb-pipes-access-policies)— Aggiunta una nuova politica | EventBridge aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle risorse informative di EventBridge Pipes. | 1 dicembre 2022 |
| [AmazonEventBridgePipesOperatorAccess](#eb-pipes-access-policies)— Aggiunta una nuova politica | EventBridge aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle informazioni sui EventBridge tubi, nonché all'avvio e all'arresto delle pipe in esecuzione. | 1 dicembre 2022 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo delle funzionalità di EventBridge Pipes. | 1 dicembre 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative di EventBridge Pipes. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 1 dicembre 2022 |
| [CloudWatchEventsReadOnlyAccess](#eb-read-only-access-policy): aggiornamento di una policy esistente | Aggiornato per corrispondere AmazonEventBridgeReadOnlyAccess. | 1 dicembre 2022 |
| [CloudWatchEventsFullAccess](#eb-full-access-policy): aggiornamento di una policy esistente | Aggiornato per corrispondere AmazonEventBridgeFullAccess. | 1 dicembre 2022 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo degli schemi e delle funzionalità di pianificazione. Sono state aggiunte le seguenti autorizzazioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 10 novembre 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative dello schema e dello scheduler. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 10 novembre 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sugli endpoint. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 7 aprile 2022 |
| [AmazonEventBridgeReadOnlyAccess](#eb-read-only-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sulla connessione e sulla destinazione dell'API. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 04 marzo 2021 |
| [AmazonEventBridgeFullAccess](#eb-full-access-policy): aggiornamento di una policy esistente | EventBridge ha aggiornato la politica per includerla `iam:CreateServiceLinkedRole` e Gestione dei segreti AWS le autorizzazioni necessarie per l'utilizzo delle destinazioni API. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/eb-use-identity-based.html) | 04 marzo 2021 |
| EventBridge ha iniziato a tenere traccia delle modifiche | EventBridge ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 04 marzo 2021 |
# Ruoli IAM per l'invio di eventi a destinazioni in Amazon EventBridge
Per inoltrare gli eventi agli obiettivi, è EventBridge necessario un ruolo IAM.
**Per creare un ruolo IAM per l'invio di eventi a EventBridge**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Per creare un ruolo IAM, segui i passaggi descritti in [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) per l'*utente IAM*. e prendi nota di quanto segue:
+ In **Nome ruolo**, utilizza un nome univoco nel tuo account.
+ In **Seleziona tipo di ruolo**, scegli **Ruoli di AWS servizio**, quindi scegli **Amazon EventBridge**. Ciò concede EventBridge le autorizzazioni per assumere il ruolo.
+ In **Allega politica, scegli**. **AmazonEventBridgeFullAccess**
Puoi anche creare policy IAM personalizzate per consentire EventBridge autorizzazioni per azioni e risorse. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Per ulteriori informazioni sulle policy IAM, consulta [Panoramica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l'utente di IAM*. Per ulteriori informazioni sulla gestione e sulla creazione di policy IAM personalizzate, consulta [Gestione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) nella *Guida per l'utente di IAM*.
## Autorizzazioni necessarie per accedere EventBridge agli obiettivi utilizzando i ruoli IAM
EventBridge gli obiettivi in genere richiedono ruoli IAM che concedono l'autorizzazione EventBridge a richiamare l'obiettivo. Di seguito sono riportati alcuni esempi di vari AWS servizi e destinazioni. Per gli altri, usa la EventBridge console per creare una regola e creare un nuovo ruolo che verrà creato con una politica con autorizzazioni ben definite preconfigurate.
Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs EventBridge e le destinazioni bus non utilizzano ruoli e le EventBridge autorizzazioni devono essere concesse tramite una politica delle risorse. Le destinazioni di Gateway API possono utilizzare policy basate su risorse o ruoli IAM.
### Destinazioni API
Se la destinazione è una destinazione API, il ruolo specificato deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `events:InvokeApiDestination`
+ **Risorsa:** `arn:aws:events:*:*:api-destination/*`
### Flussi Kinesis
Se la destinazione è un flusso Kinesis, il ruolo utilizzato per inviare i dati degli eventi a tale destinazione deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `kinesis:PutRecord`
+ **Risorsa:** `*`
### Systems Manager esegue i comandi
Se la destinazione è Systems Manager run command e si specificano uno o più `InstanceIds` valori per il comando, il ruolo specificato deve includere una policy con la seguente dichiarazione:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ec2:us-east-1:accountId:instance/instanceIds`, `arn:aws:ssm:us-east-1:*:document/documentName`
Se la destinazione è Systems Manager run command e si specificano uno o più tag per il comando, il ruolo specificato deve includere una policy con le due azioni seguenti:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ec2::accountId:instance/*`
+ **Condizione:**
```
"StringEquals": {
"ec2:ResourceTag/*": [
"[[tagValues]]"
]
}
```
E:
+ **Effetto**: `Allow`
+ **Operazione:** `ssm:SendCommand`
+ **Risorse:** `arn:aws:ssm:us-east-1:*:document/documentName`
### Macchine a stati Step Functions
Se la destinazione è una macchina a AWS Step Functions stati, il ruolo specificato deve includere una politica con quanto segue:
+ **Effetto**: `Allow`
+ **Operazione:** `states:StartExecution`
+ **Risorsa:** `arn:aws:states:*:*:stateMachine:*`
### Attività di Amazon ECS
Se la destinazione è un'attività Amazon ECS, il ruolo specificato deve includere la policy seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:RunTask"
],
"Resource": [
"arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
],
"Condition": {
"ArnLike": {
"ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ecs-tasks.amazonaws.com"
}
}
}
]
}
```
------
La seguente policy consente agli obiettivi integrati EventBridge di eseguire azioni Amazon EC2 per tuo conto. È necessario utilizzare il Console di gestione AWS per creare regole con obiettivi predefiniti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TargetInvocationAccess",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:CreateSnapshot"
],
"Resource": "*"
}
]
}
```
------
La seguente politica consente di EventBridge inoltrare gli eventi agli stream Kinesis del tuo account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KinesisAccess",
"Effect": "Allow",
"Action": [
"kinesis:PutRecord"
],
"Resource": "*"
}
]
}
```
------
## Esempio di policy gestita dal cliente: utilizzo di tag per controllare l'accesso alle regole
L'esempio seguente mostra una politica utente che concede le autorizzazioni per le azioni. EventBridge Questa politica funziona quando si utilizza l' EventBridge API o AWS SDKs il AWS CLI.
Puoi concedere agli utenti l'accesso a EventBridge regole specifiche impedendo loro di accedere ad altre regole. A tale scopo, applichi tag a entrambi i set di regole e usi le policy IAM che fanno riferimento a tali tag. Per ulteriori informazioni sull'etichettatura EventBridge delle risorse, consulta[Etichettare le risorse in Amazon EventBridge](eb-tagging.md).
Puoi concedere una policy IAM a un utente per consentirgli di accedere unicamente alle regole con un determinato tag. Puoi scegliere a quali regole concedere l'accesso contrassegnandole con quel particolare tag. Ad esempio, la seguente policy garantisce a un utente l'accesso alle regole con il valore `Prod` per la chiave di tag `Stack`.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "events:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Stack": "Prod"
}
}
}
]
}
```
Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di IAM*.
# Utilizzo di politiche basate sulle risorse per Amazon EventBridge
Quando viene eseguita una [regola](eb-rules.md) EventBridge, vengono richiamate tutte le [destinazioni](eb-targets.md) associate alla regola. Le regole possono richiamare AWS Lambda funzioni, pubblicare argomenti su Amazon SNS o inoltrare l'evento ai flussi Kinesis. Per effettuare chiamate API contro le risorse di tua proprietà, EventBridge sono necessarie le autorizzazioni appropriate. Per le risorse Lambda, Amazon SNS, Amazon SQS e CloudWatch Amazon Logs, utilizza politiche basate sulle risorse. EventBridge [Per gli stream Kinesis, EventBridge utilizza policy basate sull'identità.](eb-use-identity-based.md)
**Importante**
Per le destinazioni che utilizzano politiche basate sulle risorse (Lambda, Amazon SNS, Amazon SQS e CloudWatch Amazon Logs), non specificare a nella configurazione di destinazione. `RoleArn` Quando si specifica un `RoleArn` per questi tipi di destinazione, la distribuzione degli eventi potrebbe non riuscire, in particolare per i target AWS KMS Amazon SQS e Amazon SNS con crittografia abilitata. Utilizza politiche basate sulle risorse solo per questi obiettivi.
Li usi AWS CLI per aggiungere autorizzazioni ai tuoi obiettivi. Per informazioni su come installare e configurare AWS CLI, consulta [Getting Set Up with the AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html) nella *Guida per l'AWS Command Line Interface utente*.
**Topics**
+ [Autorizzazioni di Gateway Amazon API](#eb-api-gateway-permissions)
+ [CloudWatch Registra le autorizzazioni](#eb-cloudwatchlogs-permissions)
+ [AWS Lambda autorizzazioni](#eb-lambda-permissions)
+ [Autorizzazioni di Amazon SNS](#eb-sns-permissions)
+ [Autorizzazioni di Amazon SQS](#eb-sqs-permissions)
+ [EventBridge Specifiche dei tubi](#eb-pipes-identity-diff)
## Autorizzazioni di Gateway Amazon API
Per richiamare il tuo endpoint Amazon API Gateway utilizzando una EventBridge regola, aggiungi la seguente autorizzazione alla policy del tuo endpoint API Gateway.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "execute-api:Invoke",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:events:us-east-1:123456789012:rule/rule-name"
}
},
"Resource": [
"arn:aws:execute-api:us-east-1:123456789012:API-id/stage/GET/api"
]
}
]
}
```
------
## CloudWatch Registra le autorizzazioni
Quando CloudWatch Logs è l'obiettivo di una regola, EventBridge crea flussi di log e CloudWatch Logs memorizza il testo degli eventi come voci di registro. EventBridge Per consentire la creazione del flusso di log e la registrazione degli eventi, CloudWatch Logs deve includere una politica basata sulle risorse che consenta la scrittura nei registri. EventBridge CloudWatch
Se si utilizza Console di gestione AWS per aggiungere i CloudWatch log come obiettivo di una regola, la policy basata sulle risorse viene creata automaticamente. Se si utilizza il AWS CLI per aggiungere la destinazione e la politica non esiste già, è necessario crearla.
Il seguente esempio di policy basata sulle risorse consente di EventBridge scrivere su tutti i gruppi di log i cui nomi iniziano con. `/aws/events/` Se utilizzi una politica di denominazione diversa per questi tipi di log, modifica l'ARN della risorsa di conseguenza.
```
{
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:region:account-id:log-group:/aws/events/*:*"
}
```
**Per creare una politica delle risorse per CloudWatch i registri utilizzando il AWS CLI**
+ Al prompt dei comandi, inserire il comando seguente:
```
aws logs put-resource-policy --policy-name EventBridgeToCWLogsPolicy \
--policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"Service":["events.amazonaws.com","delivery.logs.amazonaws.com"]},"Action":["logs:CreateLogStream","logs:PutLogEvents"],"Resource":"arn:aws:logs:region:account-id:log-group:/aws/events/*:*"}]}'
```
Per ulteriori informazioni, consulta la [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html)guida di *riferimento dell'API CloudWatch Logs*.
## AWS Lambda autorizzazioni
Per richiamare la tua AWS Lambda funzione utilizzando una EventBridge regola, aggiungi la seguente autorizzazione alla policy della tua funzione Lambda.
```
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:account-id:function:function-name",
"Principal": {
"Service": "events.amazonaws.com"
},
"Condition": {
"ArnLike": {
"AWS:SourceArn": "arn:aws:events:region:account-id:rule/rule-name"
}
},
"Sid": "InvokeLambdaFunction"
}
```
**Per aggiungere le autorizzazioni precedenti che consentono di EventBridge richiamare le funzioni Lambda utilizzando AWS CLI**
+ Al prompt dei comandi, inserire il comando seguente:
```
aws lambda add-permission --statement-id "InvokeLambdaFunction" \
--action "lambda:InvokeFunction" \
--principal "events.amazonaws.com" \
--function-name "arn:aws:lambda:region:account-id:function:function-name" \
--source-arn "arn:aws:events:region:account-id:rule/rule-name"
```
*Per ulteriori informazioni sull'impostazione delle autorizzazioni che consentono di EventBridge richiamare le funzioni Lambda, consulta Using [Lambda with [AddPermission](https://docs.aws.amazon.com/lambda/latest/dg/API_AddPermission.html)Scheduled](https://docs.aws.amazon.com/lambda/latest/dg/with-scheduled-events.html) Events nella Developer Guide.AWS Lambda *
## Autorizzazioni di Amazon SNS
EventBridge Per consentire la pubblicazione su un argomento di Amazon SNS, usa i comandi `aws sns get-topic-attributes` e. `aws sns set-topic-attributes`
**Nota**
Non puoi utilizzare i `Condition` blocchi nelle policy tematiche di Amazon SNS per. EventBridge
**Per aggiungere autorizzazioni che consentano la pubblicazione EventBridge di argomenti SNS**
1. Per elencare gli attributi di un argomento SNS, utilizza il comando seguente.
```
aws sns get-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name"
```
L'esempio seguente mostra il risultato di un nuovo argomento SNS.
```
{
"Attributes": {
"SubscriptionsConfirmed": "0",
"DisplayName": "",
"SubscriptionsDeleted": "0",
"EffectiveDeliveryPolicy": "{\"http\":{\"defaultHealthyRetryPolicy\":{\"minDelayTarget\":20,\"maxDelayTarget\":20,\"numRetries\":3,\"numMaxDelayRetries\":0,\"numNoDelayRetries\":0,\"numMinDelayRetries\":0,\"backoffFunction\":\"linear\"},\"disableSubscriptionOverrides\":false}}",
"Owner": "account-id",
"Policy": "{\"Version\":\"2012-10-17\", \"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceAccount\":\"account-id\"}}}]}",
"TopicArn": "arn:aws:sns:region:account-id:topic-name",
"SubscriptionsPending": "0"
}
}
```
1. Utilizza un [convertitore da JSON a stringa](https://tools.knowledgewalls.com/jsontostring) per convertire la seguente istruzione in una stringa.
```
{
"Sid": "PublishEventsToMyTopic",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name"
}
```
Dopo la conversione dell'istruzione in una stringa, la stringa dovrebbe risultare simile a quanto segue:
```
{\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}
```
1. Aggiungi la stringa creata nel passaggio precedente alla raccolta `"Statement"` nell'attributo `"Policy"`.
1. Per impostare la nuova policy, utilizza il comando `aws sns set-topic-attributes`.
```
aws sns set-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name" \
--attribute-name Policy \
--attribute-value "{\"Version\":\"2012-10-17\", \"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceAccount\":\"account-id\"}}}, {\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}]}"
```
Per ulteriori informazioni, consulta l'[SetTopicAttributes](https://docs.aws.amazon.com/sns/latest/api/API_SetTopicAttributes.html)azione nel *riferimento all'API di Amazon Simple Notification Service*.
## Autorizzazioni di Amazon SQS
Per consentire a una EventBridge regola di richiamare una coda Amazon SQS, usa `aws sqs get-queue-attributes` i comandi and. `aws sqs set-queue-attributes`
Se la policy per la coda SQS è vuota, devi prima creare una policy e poi aggiungervi l'istruzione di autorizzazione. Una nuova coda SQS ha una policy vuota.
Se la coda SQS ha già una policy, devi copiare la policy originale e combinarla con una nuova istruzione per aggiungervi l'istruzione di autorizzazione.
**Per aggiungere autorizzazioni che consentano alle EventBridge regole di richiamare una coda SQS**
1. Per elencare gli attributi della coda SQS, Al prompt dei comandi, inserire il comando seguente:
```
aws sqs get-queue-attributes \
--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \
--attribute-names Policy
```
1. Aggiungi l'istruzione seguente.
```
{
"Sid": "AWSEvents_custom-eventbus-ack-sqs-rule_dlq_sqs-rule-target",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:region:account-id:queue-name",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:events:region:account-id:rule/bus-name/rule-name"
}
}
}
```
1. Utilizza un [convertitore da JSON a stringa](https://tools.knowledgewalls.com/jsontostring) per convertire l'istruzione precedente in una stringa. Dopo la conversione della policy in una stringa, la stringa dovrebbe risultare simile a quanto segue.
```
{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}
```
1. Crea un file denominato `set-queue-attributes.json`, con il seguente contenuto:
```
{
"Policy": "{\"Version\":\"2012-10-17\", \"Id\":\"arn:aws:sqs:region:account-id:queue-name/SQSDefaultPolicy\",\"Statement\":[{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}}]}"
}
```
1. Imposta l'attributo della policy utilizzando il file `set-queue-attributes.json` appena creato come input, come mostrato nel comando seguente.
```
aws sqs set-queue-attributes \
--queue-url https://sqs.region.amazonaws.com/account-id/queue-name \
--attributes file://set-queue-attributes.json
```
Per ulteriori informazioni, vedi [Esempi di policy di Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/SQSExamples.html) nella *Guida per gli sviluppatori di Amazon Simple Queue Service*.
## EventBridge Specifiche dei tubi
EventBridge Pipes non supporta politiche basate sulle risorse e non APIs supporta condizioni politiche basate sulle risorse.
Tuttavia, se si configura l'accesso tramite pipe tramite un endpoint VPC di interfaccia, tale endpoint VPC supporta policy di risorse che consentono di gestire l'accesso a Pipe. EventBridge APIs Per ulteriori informazioni, consulta [Utilizzo di Amazon EventBridge con endpoint VPC di interfaccia](eb-related-service-vpc.md)
# Prevenzione interservizio confusa su più servizi in Amazon EventBridge
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Ti consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle politiche delle risorse per limitare le autorizzazioni che Amazon EventBridge concede a un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename:*:123456789012:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
## Autobus per eventi
Per gli obiettivi delle regole del bus degli EventBridge eventi, il valore di `aws:SourceArn` deve essere l'ARN della regola.
L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition EventBridge per evitare il confuso problema del vice. Questo esempio è destinato all'uso in una politica di fiducia per i ruoli, per un ruolo utilizzato da una EventBridge regola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:events:*:123456789012:rule/myRule"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## EventBridge Tubi
Per EventBridge i tubi, il valore di `aws:SourceArn` deve essere l'ARN del tubo.
L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition EventBridge per evitare il confuso problema del vice. Questo esempio è destinato all'uso in una politica di fiducia per i ruoli, per un ruolo utilizzato da EventBridge Pipes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "pipes.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:pipes:*:123456789012:pipe/example"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
# Politiche basate sulle risorse per gli schemi Amazon EventBridge
[Il [registro degli EventBridge schemi](eb-schema-registry.md) supporta politiche basate sulle risorse.](eb-use-resource-based.md) Una *policy basata su risorse* è una policy associata a una risorsa anziché a un'identità IAM. Ad esempio, in Amazon Simple Storage Service (Amazon S3), una policy basata su risorse è associata a un bucket Amazon S3.
Per ulteriori informazioni sugli EventBridge schemi e sulle politiche basate sulle risorse, vedere quanto segue.
+ [Riferimento all'API REST EventBridge di Amazon Schemas](https://docs.aws.amazon.com/eventbridge/latest/schema-reference/what-is-eventbridge-schemas.html)
+ [Policy basate su identità e policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) nella Guida per l'utente di IAM
## Supportato APIs per politiche basate sulle risorse
È possibile utilizzare quanto segue APIs con le politiche basate sulle risorse per il registro degli EventBridge schemi.
+ `DescribeRegistry`
+ `UpdateRegistry`
+ `DeleteRegistry`
+ `ListSchemas`
+ `SearchSchemas`
+ `DescribeSchema`
+ `CreateSchema`
+ `DeleteSchema`
+ `UpdateSchema`
+ `ListSchemaVersions`
+ `DeleteSchemaVersion`
+ `DescribeCodeBinding`
+ `GetCodeBindingSource`
+ `PutCodeBinding`
## Esempio di politica che concede tutte le azioni supportate a un account AWS
Per il registro EventBridge dello schema, è necessario allegare sempre una politica basata sulle risorse a un registro. Per concedere l'accesso a uno schema, è necessario specificare l'ARN dello schema e l'ARN del registro nella policy.
Per concedere a un utente l'accesso a tutti EventBridge gli schemi disponibili APIs , utilizza una politica simile alla seguente, sostituendola `"Principal"` con l'ID dell'account a cui desideri concedere l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:*"
],
"Principal": {
"AWS": [
"109876543210"
]
},
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
]
}
]
}
```
------
## Esempio di politica che concede azioni di sola lettura a un account AWS
L'esempio seguente concede l'accesso a un account solo per gli schemi in sola lettura. APIs EventBridge
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:DescribeRegistry",
"schemas:ListSchemas",
"schemas:SearchSchemas",
"schemas:DescribeSchema",
"schemas:ListSchemaVersions",
"schemas:DescribeCodeBinding",
"schemas:GetCodeBindingSource"
],
"Principal": {
"AWS": [
"109876543210"
]
},
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
]
}
]
}
```
------
## Esempio di policy che concede tutte le azioni a un'organizzazione
È possibile utilizzare politiche basate sulle risorse con il registro degli EventBridge schemi per concedere l'accesso a un'organizzazione. Per ulteriori informazioni, consulta la [Guida per l'utente AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). L'esempio seguente concede l'accesso al registro di schemi all'organizzazione con ID `o-a1b2c3d4e5`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Test",
"Effect": "Allow",
"Action": [
"schemas:*"
],
"Principal": "*",
"Resource": [
"arn:aws:schemas:us-east-1:012345678901:registry/default",
"arn:aws:schemas:us-east-1:012345678901:schema/default*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-a1b2c3d4e5"
]
}
}
}
]
}
```
------
# Riferimento alle EventBridge autorizzazioni Amazon
Per specificare un'azione in una EventBridge policy, utilizzate il `events:` prefisso seguito dal nome dell'operazione API, come illustrato nell'esempio seguente.
```
"Action": "events:PutRule"
```
Per specificare più operazioni in una singola istruzione, separarle con una virgola come mostrato di seguito.
```
"Action": ["events:action1", "events:action2"]
```
Per specificare più azioni, è possibile utilizzare i caratteri jolly. Ad esempio, puoi specificare tutte le azioni il cui nome inizia con la parola `"Put"` come segue.
```
"Action": "events:Put*"
```
Per specificare tutte le azioni EventBridge API, utilizzate il carattere `*` jolly come segue.
```
"Action": "events:*"
```
La tabella seguente elenca le operazioni EventBridge API e le azioni corrispondenti che puoi specificare in una policy IAM.
| EventBridge Funzionamento dell'API | Autorizzazioni richieste | Descrizione |
| --- | --- | --- |
| [DeleteRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DeleteRule.html) | `events:DeleteRule` | Necessario per eliminare una regola. |
| [DescribeEventBus](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeEventBus.html) | `events:DescribeEventBus` | Richiesto per elencare gli account che sono autorizzati a scrivere gli eventi sul bus dell'evento dell'account attuale. |
| [DescribeRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html) | `events:DescribeRule` | Necessario per elencare i dettagli di una regola. |
| [DisableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html) | `events:DisableRule` | Necessario per disabilitare una regola. |
| [EnableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html) | `events:EnableRule` | Necessario per abilitare una regola. |
| [ListRuleNamesByTarget](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html) | `events:ListRuleNamesByTarget` | Necessario per elencare le regole associate a un target. |
| [ListRules](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html) | `events:ListRules` | Necessario per elencare tutte le regole nel tuo account. |
| [ListTagsForResource](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTagsForResource.html) | `events:ListTagsForResource` | Necessario per elencare tutti i tag associati a una EventBridge risorsa. Al momento, è possibile applicare tag solo alle regole. |
| [ListTargetsByRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html) | `events:ListTargetsByRule` | Necessario per elencare tutti i target associati a una regola. |
| [PutEvents](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutEvents.html) | `events:PutEvents` | Necessario per aggiungere eventi personalizzati per i quali può essere trovata una corrispondenza alle regole. |
| [PutPermission](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutPermission.html) | `events:PutPermission` | Richiesto per autorizzare un altro account a scrivere eventi su un bus evento predefinito di questo account. |
| [PutRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html) | `events:PutRule` | Necessario per creare o aggiornare una regola. |
| [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html) | `events:PutTargets` | Necessario per aggiungere target a una regola. |
| [RemovePermission](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemovePermission.html) | `events:RemovePermission` | Richiesto per revocare a un altro account le autorizzazioni per scrivere eventi su un bus evento predefinito di questo account. |
| [RemoveTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_RemoveTargets.html) | `events:RemoveTargets` | Necessario per rimuovere un target da una regola. |
| [TestEventPattern](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_TestEventPattern.html) | `events:TestEventPattern` | Necessario per testare un modello di evento in un dato evento. |
# Utilizzo delle condizioni delle policy IAM in Amazon EventBridge
Per concedere le autorizzazioni, utilizzi il linguaggio della policy IAM in un'istruzione di policy allo scopo di specificare le condizioni in base alle quale la policy deve essere applicata. Ad esempio, puoi avere una policy che viene applicata solo dopo una data specifica.
Una condizione in una policy è costituita da coppie chiave-valore. Le chiavi di condizione non fanno distinzione tra maiuscole e minuscole.
Se si specificano più condizioni o chiavi in un'unica condizione, tutte le condizioni e le chiavi devono essere soddisfatte per EventBridge concedere l'autorizzazione. Se si specifica una singola condizione con più valori per una chiave, EventBridge concede l'autorizzazione se uno dei valori è soddisfatto.
Puoi anche utilizzare segnaposto o *variabili di policy* quando specifichi le condizioni. Per ulteriori informazioni, consulta la pagina relativa alle [variabili di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/policyvariables.html) nella *Guida per l'utente di IAM*. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy IAM, consulta [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition) nella *Guida per l'utente di IAM*.
Per impostazione predefinita, gli utenti e i ruoli IAM non possono accedere agli [eventi](eb-events.md) nel tuo account. Per accedere agli eventi, un utente deve disporre dell'autorizzazione per l'azione API `PutRule`. Se un ruolo o un utente IAM dispone dell'autorizzazione per l'azione `events:PutRule`, può creare una [regola](eb-rules.md) corrispondente a determinati eventi. Tuttavia, affinché la regola sia utile, l'utente deve disporre anche delle autorizzazioni per l'`events:PutTargets`azione perché, se vuoi che la regola faccia qualcosa di più della pubblicazione di una CloudWatch metrica, devi anche aggiungere un [obiettivo](eb-targets.md) a una regola.
Puoi fornire una condizione nell'istruzione della policy di un ruolo o utente IAM che consente all'utente o al ruolo di creare una regola che corrisponde solo a un set specifico di origini e tipi di eventi. Per concedere l'accesso a origini e tipi di eventi specifici, utilizza le chiavi di condizione `events:source` e `events:detail-type`.
Analogamente, puoi fornire una condizione nell'istruzione della policy di un ruolo o utente IAM che consente all'utente o al ruolo di creare una regola che corrisponde solo a una specifica risorsa nei tuoi account. Per concedere l'accesso a una risorsa specifica, utilizza la chiave di condizione `events:TargetArn`.
## EventBridge tasti di condizione
La tabella seguente mostra le chiavi di condizione e le coppie chiave/valore che è possibile utilizzare in una politica in EventBridge.
| Chiave di condizione | Coppia chiave-valore | Tipi di valutazione |
| --- | --- | --- |
| Leggi: SourceAccount | L'account in cui esiste la regola specificata da `aws:SourceArn`. | ID account, Null |
| seghe: SourceArn | L'ARN della regola che invia l'evento. | ARN, Null |
| events:creatorAccount | `"events:creatorAccount":"creatorAccount"` Ad *creatorAccount* esempio, utilizza l'ID dell'account che ha creato la regola. Utilizza questa condizione per autorizzare le chiamate API sulle regole di un account specifico. | creatorAccount, Null |
| events:detail-type | `"events:detail-type":"detail-type "` *detail-type*Dov'è la stringa letterale per il campo del **tipo di dettaglio** dell'evento, ad esempio e. `"AWS API Call via CloudTrail"` `"EC2 Instance State-change Notification"` | Detail-type, null |
| eventi: dettaglio. eventTypeCode | `"events:detail.eventTypeCode":"eventTypeCode"` Per*eventTypeCode*, usa la stringa letterale per i **dettagli. eventTypeCode**campo dell'evento, ad esempio`"AWS_ABUSE_DOS_REPORT"`. | eventTypeCode, Nullo |
| events: detail.service | `"events:detail.service":"service"` Per*service*, usa la stringa letterale per il campo **detail.service** dell'evento, ad esempio. `"ABUSE"` | service, Null |
| events: detail.userIdentity.principalId | `"events:detail.userIdentity.principalId":"principal-id"` Ad esempio*principal-id*, utilizzate la stringa letterale per il campo **detail.userIdentity.principalID** dell'evento con un tipo di dettaglio come. `"AWS API Call via CloudTrail"` `"AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName."` | Principal Id, null |
| eventi: eventBusInvocation | `"events:eventBusInvocation":"boolean"` Ad *boolean* esempio, usa true quando una regola invia un evento a una destinazione che è un bus di eventi in un altro account. Utilizza false quando viene utilizzata una chiamata API `PutEvents`. | eventBusInvocation, Nullo |
| eventi: ManagedBy | Utilizzato internamente dai AWS servizi. Per una regola creata da un AWS servizio per conto dell'utente, il valore è il nome principale del servizio che ha creato la regola. | Non destinata all'uso nelle policy dei clienti. |
| events:source | `"events:source":"source "` Utilizza *source* come stringa letterale per il campo di origine dell'evento, ad esempio `"aws.ec2"` o`"aws.s3"`. Per ulteriori valori possibili per*source*, consulta gli eventi di esempio in[Eventi derivanti dai AWS servizi](eb-events.md#eb-service-event). | Source, null |
| eventi: TargetArn | `"events:TargetArn":"target-arn "` Ad *target-arn* esempio, usa l'ARN della destinazione per la regola. `"arn:aws:lambda:*:*:function:*"` | ArrayOfARN, nullo |
Ad esempio, dichiarazioni politiche per EventBridge, vedere. [Gestione delle autorizzazioni di accesso alle tue risorse Amazon EventBridge](eb-manage-iam-access.md)
**Topics**
+ [EventBridge tasti di condizione](#conditions-table)
+ [EventBridge Specifiche dei tubi](#eb-pipes-condition-diff)
+ [Esempio: utilizzo della condizione `creatorAccount`](#eb-events-creator-account)
+ [Esempio: utilizzo della condizione `eventBusInvocation`](#eb-events-bus-invocation)
+ [Esempio: limitazione dell'accesso a un'origine specifica](#eb-events-limit-access-control)
+ [Esempio: definizione di più origini che possono essere utilizzate individualmente in un modello di eventi](#eb-events-pattern-sources)
+ [Esempio: accertarsi che l'origine sia definita nel modello di eventi](#eb-source-defined-events-pattern)
+ [Esempio: definizione di un elenco di origini consentite in un modello di eventi con più origini](#eb-allowed-sources-events-pattern)
+ [Esempio: limitazione dell'accesso `PutRule` mediante `detail.service`](#eb-limit-rule-by-service)
+ [Esempio: limitazione dell'accesso `PutRule` mediante `detail.eventTypeCode`](#eb-limit-rule-by-type-code)
+ [Esempio: garantire che siano consentiti solo AWS CloudTrail gli eventi per le chiamate API provenienti da un determinato `PrincipalId` utente](#eb-consume-specific-events)
+ [Esempio: limitazione dell'accesso alle destinazioni](#eb-limiting-access-to-targets)
## EventBridge Specifiche dei tubi
EventBridge Pipes non supporta alcuna chiave aggiuntiva per le condizioni delle policy IAM.
## Esempio: utilizzo della condizione `creatorAccount`
L'esempio seguente di istruzione di policy mostra come utilizzare la condizione `creatorAccount` in una policy per consentire la creazione di regole solo se l'account specificato come `creatorAccount` è l'account che ha creato la regola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForOwnedRules",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"events:creatorAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Esempio: utilizzo della condizione `eventBusInvocation`
`eventBusInvocation` indica se l'invocazione proviene da una destinazione multi-account o da una richiesta API `PutEvents`. Il valore è **true** quando l'invocazione risulta da una regola che include una destinazione multi-account, ad esempio quando la destinazione è un router di eventi in un altro account. Il valore è **false** quando l'invocazione risulta da una richiesta API `PutEvents`. L'esempio seguente indica un'invocazione da una destinazione multi-account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountInvocationEventsOnly",
"Effect": "Allow",
"Action": "events:PutEvents",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"events:eventBusInvocation": "true"
}
}
}
]
}
```
------
## Esempio: limitazione dell'accesso a un'origine specifica
Le seguenti policy di esempio possono essere associate a un utente IAM. La policy A consente all'azione API `PutRule` per tutti gli eventi, mentre la policy B consente `PutRule` solo se il modello di eventi della regola creata corrisponde agli eventi Amazon EC2.
**Policy A: consente tutti gli eventi**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEvents",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*"
}
]
}
```
------
**Policy B: consente solo eventi da Amazon EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEC2Events",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": "aws.ec2"
}
}
}
]
}
```
------
`EventPattern` è un argomento obbligatorio per `PutRule`. Pertanto, se l'utente con la policy B chiama `PutRule` con un modello di eventi come il seguente:
```
{
"source": [ "aws.ec2" ]
}
```
La regola si crea perché la policy consente questa origine specifica, vale a dire `"aws.ec2"`. Tuttavia, se l'utente con la policy B chiama `PutRule` con un modello di eventi come il seguente, la creazione della regola viene negata perché la policy non consente questa origine specifica, ovvero `"aws.s3"`.
```
{
"source": [ "aws.s3" ]
}
```
Essenzialmente, all'utente con la policy B viene consentita solo la creazione di una regola che corrisponderebbe agli eventi originati da Amazon EC2 e quindi gli è consentito l'accesso solo agli eventi da Amazon EC2.
Consulta la tabella riportata di seguito per un confronto tra la policy A e la policy B:
| Modello di eventi | Consentito dalla policy A | Consentito dalla policy B |
| --- | --- | --- |
| {
"source": [ "aws.ec2" ]
} | Sì | Sì |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Sì | No (l'origine aws.s3 non è consentita) |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Sì | Sì |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Sì | No (deve essere specificata l'origine) |
## Esempio: definizione di più origini che possono essere utilizzate individualmente in un modello di eventi
La seguente policy consente a un ruolo o utente IAM di creare una regola in cui l'origine in `EventPattern` è Amazon EC2 o Amazon ECS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsEC2OrECS",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.ec2",
"aws.ecs"
]
}
}
}
]
}
```
------
Nella tabella seguente sono riportati alcuni esempi di modelli di eventi consentiti o negati da questa policy.
| Modello di evento | Consentito dalla policy |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Sì |
| {
"source": [ "aws.ecs" ]
} | Sì |
| {
"source": [ "aws.s3" ]
} | No |
| {
"source": [ "aws.ec2", "aws.ecs" ]
} | No |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | No |
## Esempio: accertarsi che l'origine sia definita nel modello di eventi
La policy seguente consente agli utenti di creare regole solo con `EventPatterns` che hanno il campo di origine. Con questa policy, un ruolo o un utente IAM non può creare una regola con un `EventPattern` che non fornisce un'origine specifica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecified",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Nella tabella seguente sono riportati alcuni esempi di modelli di eventi consentiti o negati da questa policy.
| Modello di eventi | Consentito dalla policy |
| --- | --- |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Sì |
| {
"source": [ "aws.ecs", "aws.ec2" ]
} | Sì |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | No |
## Esempio: definizione di un elenco di origini consentite in un modello di eventi con più origini
La policy seguente consente agli utenti di creare regole con `EventPatterns` che includono molteplici origini. Ogni origine nel modello di eventi deve essere un membro dell'elenco fornito nella condizione. Quando utilizzi la condizione `ForAllValues`, assicurati che almeno uno degli elementi nell'elenco di condizioni sia definito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [ "aws.ec2", "aws.s3" ]
},
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Nella tabella seguente sono riportati alcuni esempi di modelli di eventi consentiti o negati da questa policy.
| Modello di eventi | Consentito dalla policy |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Sì |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Sì |
| {
"source": [ "aws.ec2", "aws.autoscaling" ]
} | No |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | No |
## Esempio: limitazione dell'accesso `PutRule` mediante `detail.service`
Puoi limitare un ruolo o un utente IAM alla creazione di regole solo per eventi che hanno un determinato valore nel campo `events:details.service`. Il valore di `events:details.service` non è necessariamente il nome di un AWS servizio.
Questa condizione politica è utile quando si lavora con eventi relativi alla sicurezza o agli abusi. AWS Health Utilizzando questa condizione di policy, puoi limitare l'accesso a questi avvisi sensibili solo agli utenti che necessitano di visualizzarli.
Ad esempio, la seguente policy consente la creazione di regole solo per gli eventi in cui il valore di `events:details.service` è `ABUSE`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.service": "ABUSE"
}
}
}
]
}
```
------
## Esempio: limitazione dell'accesso `PutRule` mediante `detail.eventTypeCode`
Puoi limitare un ruolo o un utente IAM alla creazione di regole solo per eventi che hanno un determinato valore nel campo `events:details.eventTypeCode`. Questa condizione politica è utile quando si lavora con eventi relativi alla sicurezza o all'abuso. AWS Health Utilizzando questa condizione di policy, puoi limitare l'accesso a questi avvisi sensibili solo agli utenti che necessitano di visualizzarli.
Ad esempio, la seguente policy consente la creazione di regole solo per gli eventi in cui il valore di `events:details.eventTypeCode` è `AWS_ABUSE_DOS_REPORT`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT"
}
}
}
]
}
```
------
## Esempio: garantire che siano consentiti solo AWS CloudTrail gli eventi per le chiamate API provenienti da un determinato `PrincipalId` utente
Tutti AWS CloudTrail gli eventi hanno l'indicazione PrincipalId dell'utente che ha effettuato la chiamata API nel `detail.userIdentity.principalId` percorso di un evento. Utilizzando la chiave di `events:detail.userIdentity.principalId` condizione, puoi limitare l'accesso degli utenti o dei ruoli IAM agli CloudTrail eventi solo per quelli provenienti da un account specifico.
```
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail-type": [ "AWS API Call via CloudTrail" ],
"events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
}
}
}
]
}
```
Nella tabella seguente sono riportati alcuni esempi di modelli di eventi consentiti o negati da questa policy.
| Modello di evento | Consentito dalla policy |
| --- | --- |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | No |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
} | Sì |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ]
} | No |
## Esempio: limitazione dell'accesso alle destinazioni
Se un utente o ruolo IAM dispone di un'autorizzazione `events:PutTargets`, può aggiungere qualsiasi destinazione nello stesso account alle regole alle quali ha accesso. La seguente policy consente gli utenti di aggiungere destinazioni solo a una regola specifica: `MyRule` nell'account `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRule",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule"
}
]
}
```
------
Per limitare i target che possono essere aggiunti alla regola, utilizza la chiave di condizione `events:TargetArn`. Puoi limitare le destinazioni alle sole funzioni Lambda, come nel seguente esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/rule-name",
"Condition": {
"ForAnyValue:ArnLike": {
"events:TargetArn": "arn:aws:lambda:*:*:function:*"
}
}
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per EventBridge
Amazon EventBridge utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. EventBridge I ruoli collegati ai servizi sono predefiniti EventBridge e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione EventBridge perché non è necessario aggiungere manualmente le autorizzazioni necessarie. EventBridge definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. EventBridge Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi EventBridge le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
# Utilizzo dei ruoli per creare segreti per le destinazioni API in EventBridge
L'argomento seguente descrive in dettaglio l'utilizzo del ruolo collegato al ****AWSServiceRoleForAmazonEventBridgeApiDestinations****servizio.
## Autorizzazioni relative ai ruoli collegati al servizio per EventBridge
EventBridge utilizza il ruolo collegato al servizio denominato ****AWSServiceRoleForAmazonEventBridgeApiDestinations****— Consente l'accesso ai Secrets Manager Secrets creati da. EventBridge
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForAmazonEventBridgeApiDestinations** considera attendibili i seguenti servizi:
+ `apidestinations.events.amazonaws.com`
La politica di autorizzazione dei ruoli denominata **AmazonEventBridgeApiDestinationsServiceRolePolicy**consente di EventBridge completare le seguenti azioni sulle risorse specificate:
+ Operazione: `create, describe, update and delete secrets; get and put secret values` su `secrets created for all connections by EventBridge`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per EventBridge
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei una connessione nella Console di gestione AWS, la o l' AWS API AWS CLI, EventBridge crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Se utilizzavi il EventBridge servizio prima dell'11 febbraio 2021, quando ha iniziato a supportare ruoli collegati al servizio, hai EventBridge creato il **AWSServiceRoleForAmazonEventBridgeApiDestinations**ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei una connessione, EventBridge crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per EventBridge
EventBridge non consente di modificare il ruolo collegato al **AWSServiceRoleForAmazonEventBridgeApiDestinations**servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per EventBridge
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
**Nota**
Se il EventBridge servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare EventBridge le risorse utilizzate dalla **AWSServiceRoleForAmazonEventBridgeApiDestinations**(console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. In **Integrazioni scegli le** **destinazioni API**, quindi scegli la scheda **Connessioni**.
1. Scegli la connessione, quindi scegli **Elimina**.
**Per eliminare EventBridge le risorse utilizzate da **AWSServiceRoleForAmazonEventBridgeApiDestinations**(AWS CLI)**
+ Utilizzate il seguente comando:`[delete-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/events/delete-connection.html)`.
**Per eliminare EventBridge le risorse utilizzate dalla **AWSServiceRoleForAmazonEventBridgeApiDestinations**(API)**
+ Usa il seguente comando:`[DeleteConnection](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DeleteConnection.html)`.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo **AWSServiceRoleForAmazonEventBridgeApiDestinations**collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi EventBridge
EventBridge supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Utilizzo dei ruoli per l'individuazione dello schema in Amazon EventBridge
L'argomento seguente descrive in dettaglio l'utilizzo del ruolo collegato al ****AWSServiceRoleForSchemas****servizio.
## Autorizzazioni relative ai ruoli collegati al servizio per EventBridge
EventBridge utilizza il ruolo collegato al servizio denominato ****AWSServiceRoleForSchemas****— Concede le autorizzazioni alle regole gestite create dagli schemi.. Amazon EventBridge
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForSchemas** considera attendibili i seguenti servizi:
+ `schemas.amazonaws.com`
La politica di autorizzazione dei ruoli denominata ****AmazonEventBridgeSchemasServiceRolePolicy****consente di EventBridge completare le seguenti azioni sulle risorse specificate:
+ Operazione: `put, enable, disable, and delete rules; put and remove targets; list targets per rule` su `all managed rules created by EventBridge`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per EventBridge
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui uno Schema Discovery nell'API Console di gestione AWS AWS CLI, l'o l' AWS API, EventBridge crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Se utilizzavi il EventBridge servizio prima del 27 novembre 2019, quando ha iniziato a supportare ruoli collegati al servizio, hai EventBridge creato il **AWSServiceRoleForSchemas**ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando esegui uno Schema Discovery, EventBridge crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per EventBridge
EventBridge non consente di modificare il ruolo collegato al **AWSServiceRoleForSchemas**servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per EventBridge
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
**Nota**
Se il EventBridge servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare EventBridge le risorse utilizzate dalla **AWSServiceRoleForSchemas**(console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. In **Autobus** scegli **Event bus**, quindi scegli un Event Bus.
1. Scegli **Stop discovery**.
**Per eliminare EventBridge le risorse utilizzate da **AWSServiceRoleForSchemas**(AWS CLI)**
+ Utilizzate il seguente comando:`[delete-discoverer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/events/delete-discoverer.html)`.
**Per eliminare EventBridge le risorse utilizzate dalla **AWSServiceRoleForSchemas**(API)**
+ Usa il seguente comando:`[DeleteDiscoverer](https://docs.aws.amazon.com/eventbridge/latest/schema-reference/v1-discoverers-id-discovererid.html#DeleteDiscoverer)`.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo **AWSServiceRoleForSchemas**collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi EventBridge
EventBridge supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Registrazione delle chiamate Amazon EventBridge API utilizzando AWS CloudTrail
Amazon EventBridge è integrato con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API EventBridge come eventi. Le chiamate acquisite includono chiamate dalla EventBridge console e chiamate di codice alle operazioni EventBridge API. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata effettuata EventBridge, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e ulteriori dettagli.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente.
+ Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla **cronologia degli CloudTrail eventi**. La **cronologia CloudTrail degli eventi** fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWS*Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella Guida per l'utente.AWS CloudTrail * Non sono CloudTrail previsti costi per la visualizzazione della **cronologia degli eventi**.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentieri**
Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il Console di gestione AWS sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta [Creating a trail for your Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) Per informazioni sui prezzi di Amazon S3, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Archivi di dati sugli eventi di Lake**
*CloudTrail Lake* ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail [Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.](https://orc.apache.org/) ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in *archivi di dati degli eventi*, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i [selettori di eventi avanzati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. *Per ulteriori informazioni su CloudTrail Lake, consulta [Working with AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) nella Guida per l'utente.AWS CloudTrail *
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. [Per ulteriori informazioni sui CloudTrail prezzi, consulta Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
## EventBridge eventi gestionali in CloudTrail
[Gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse di Account AWS. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Per impostazione predefinita, CloudTrail registra gli eventi di gestione.
Amazon EventBridge registra tutte le operazioni EventBridge del piano di controllo come eventi di gestione. Per un elenco delle operazioni del piano di Amazon EventBridge controllo a cui si EventBridge effettua l'accesso CloudTrail, consulta l'[Amazon EventBridge API](https://docs.aws.amazon.com/eventbridge/latest/APIReference/Welcome.html) Reference.
La tabella seguente elenca i tipi di EventBridge risorse per i quali è possibile registrare gli eventi. La colonna **Tipo di evento (console)** mostra il valore da scegliere dall'elenco **Tipo di evento** sulla CloudTrail console. La CloudTrail colonna **APIs Logged to** mostra le chiamate API registrate CloudTrail per il tipo di risorsa.
| Tipo di evento (console) | APIs registrato a CloudTrail |
| --- | --- |
| Bus per eventi | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
| Regola del bus degli eventi | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
| Tubo | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/eventbridge/latest/userguide/logging-using-cloudtrail.html) |
## EventBridge esempi di eventi
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra un CloudTrail evento che dimostra l'`PutRule`operazione.
```
{
"eventVersion":"1.03",
"userIdentity":{
"type":"Root",
"principalId":"123456789012",
"arn":"arn:aws:iam::123456789012:root",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2015-11-17T23:56:15Z"
}
}
},
"eventTime":"2015-11-18T00:11:28Z",
"eventSource":"events.amazonaws.com",
"eventName":"PutRule",
"awsRegion":"us-east-1",
"sourceIPAddress":"AWS Internal",
"userAgent":"AWS CloudWatch Console",
"requestParameters":{
"description":"",
"name":"cttest2",
"state":"ENABLED",
"eventPattern":"{\"source\":[\"aws.ec2\"],\"detail-type\":[\"EC2 Instance State-change Notification\"]}",
"scheduleExpression":""
},
"responseElements":{
"ruleArn":"arn:aws:events:us-east-1:123456789012:rule/cttest2"
},
"requestID":"e9caf887-8d88-11e5-a331-3332aa445952",
"eventID":"49d14f36-6450-44a5-a501-b0fdcdfaeb98",
"eventType":"AwsApiCall",
"apiVersion":"2015-10-07",
"recipientAccountId":"123456789012"
}
```
Per informazioni sul contenuto dei CloudTrail record, consultate il [contenuto dei CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) nella *Guida per l'AWS CloudTrail utente*.
## CloudTrail voci di registro relative alle azioni intraprese da EventBridge Pipes
EventBridge Pipes assume il ruolo IAM fornito durante la lettura di eventi da fonti, l'invocazione di arricchimenti o l'invocazione di obiettivi. Per le CloudTrail voci relative alle azioni intraprese nel tuo account su tutti gli arricchimenti, i target e le fonti Amazon SQS, Kinesis e DynamoDB, i campi e includeranno. `sourceIPAddress` `invokedBy` `pipes.amazonaws.com`
**Elemento di CloudTrail log di esempio per tutti gli arricchimenti, i target e le fonti Amazon SQS, Kinesis e DynamoDB**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "...",
"arn": "arn:aws:sts::111222333444:assumed-role/...",
"accountId": "111222333444",
"accessKeyId": "...",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "...",
"arn": "...",
"accountId": "111222333444",
"userName": "userName"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-09-22T21:41:15Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "pipes.amazonaws.com"
},
"eventTime": ",,,",
"eventName": "...",
"awsRegion": "us-west-2",
"sourceIPAddress": "pipes.amazonaws.com",
"userAgent": "pipes.amazonaws.com",
"requestParameters": {
...
},
"responseElements": null,
"requestID": "...",
"eventID": "...",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "...",
"eventCategory": "Management"
}
```
Per tutte le altre fonti, il `sourceIPAddress` campo delle voci di CloudTrail registro avrà un indirizzo IP dinamico e non dovrebbe essere utilizzato per alcuna integrazione o categorizzazione degli eventi. Inoltre, queste voci non avranno il campo `invokedBy`.
**Esempio di voce di CloudTrail registro per tutte le altre fonti**
```
{
"eventVersion": "1.08",
"userIdentity": {
...
},
"eventTime": ",,,",
"eventName": "...",
"awsRegion": "us-west-2",
"sourceIPAddress": "127.0.0.1",
"userAgent": "Python-httplib2/0.8 (gzip)",
}
```
# Convalida della conformità in Amazon EventBridge
Revisori di terze parti come SOC, PCI, FedRAMP e HIPAA valutano la sicurezza e la conformità dei servizi come parte di più programmi di conformità. AWS AWS
Per informazioni generali, vedere Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) Scaricamento dei . AWS
La vostra responsabilità di conformità durante l'utilizzo EventBridge è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ Guide [rapide su sicurezza e conformità Guide introduttive](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : considerazioni e passaggi sull'architettura per l'implementazione di ambienti di base incentrati sulla sicurezza e la conformità su. AWS
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: in che modo le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html). AWS
+ AWS
+ [Valutazione delle risorse con regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli sviluppatori di AWS Config *: informazioni su come AWS Config valuta il livello di conformità delle configurazioni delle risorse con pratiche interne, linee guida di settore e normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Una panoramica completa dello stato di sicurezza AWS che consente di verificare la conformità agli standard e alle best practice del settore della sicurezza.
# EventBridge Resilienza di Amazon
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in Amazon EventBridge
In quanto servizio gestito, Amazon EventBridge è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere EventBridge attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
È possibile richiamare queste operazioni API da qualsiasi posizione di rete e utilizzare [politiche di accesso basate sulle risorse](eb-use-resource-based.md) in EventBridge, che possono includere restrizioni basate sull'indirizzo IP di origine. Puoi anche utilizzare EventBridge le policy per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) specifici o specifici. VPCs In effetti, questo isola l'accesso alla rete a una determinata EventBridge risorsa solo dal VPC specifico all'interno AWS della rete.
# Analisi della configurazione e delle vulnerabilità in Amazon EventBridge
La configurazione e i controlli IT sono una responsabilità condivisa tra voi AWS e voi, i nostri clienti. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).