Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon EventBridge
Le politiche basate sull'identità sono politiche di autorizzazione che è possibile allegare alle identità. IAM
AWS politiche gestite per EventBridge
AWS affronta molti casi d'uso comuni fornendo IAM politiche autonome create e amministrate da AWS. Le policy gestite, dette anche predefinite, concedono le autorizzazioni necessarie per casi d'uso comune, in modo da non dover determinare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida per l'IAMutente.
Le seguenti politiche AWS gestite che puoi allegare agli utenti del tuo account sono specifiche per EventBridge:
-
AmazonEventBridgeFullAccess— Garantisce l'accesso completo a EventBridge, inclusi EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Garantisce l'accesso in sola lettura a EventBridge, inclusi EventBridge Pipes, Schemas e Scheduler. EventBridge EventBridge
AmazonEventBridgeFullAccess politica
La AmazonEventBridgeFullAccess politica concede le autorizzazioni per utilizzare tutte le EventBridge azioni, oltre alle seguenti autorizzazioni:
-
iam:CreateServiceLinkedRole— EventBridge richiede questa autorizzazione per creare il ruolo di servizio nel tuo account per le destinazioni. API Questa autorizzazione concede solo le autorizzazioni IAM di servizio per creare un ruolo nel tuo account specifico per API le destinazioni. -
iam:PassRole— EventBridge richiede questa autorizzazione per passare un ruolo di invocazione per richiamare l' EventBridge obiettivo di una regola. -
Autorizzazioni Secrets Manager: EventBridge richiede queste autorizzazioni per gestire i segreti nel tuo account quando fornisci credenziali tramite la risorsa di connessione per autorizzare Destinations. API
Di seguito viene illustrata la politicaJSON. AmazonEventBridgeFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Nota
Le informazioni contenute in questa sezione si applicano anche alla policy CloudWatchEventsFullAccess. Tuttavia, si consiglia vivamente di utilizzare Amazon EventBridge anziché Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess politica
La AmazonEventBridgeReadOnlyAccess politica concede le autorizzazioni per utilizzare tutte le azioni di lettura EventBridge .
Di seguito viene JSON illustrata la politica. AmazonEventBridgeReadOnlyAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Nota
Le informazioni contenute in questa sezione si applicano anche alla policy CloudWatchEventsReadOnlyAccess. Tuttavia, si consiglia vivamente di utilizzare Amazon EventBridge anziché Amazon CloudWatch Events.
EventBridge Politiche gestite specifiche dello schema
Uno schema definisce la struttura degli eventi a cui vengono inviati. EventBridge EventBridge fornisce schemi per tutti gli eventi generati dai AWS servizi. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Schemas:
EventBridge Politiche gestite specifiche per Scheduler
Amazon EventBridge Scheduler è uno strumento di pianificazione senza server che consente di creare, eseguire e gestire attività da un unico servizio gestito centralizzato. Per le policy AWS gestite specifiche di EventBridge Scheduler, consulta le politiche AWS gestite per Scheduler nella EventBridge Scheduler User Guide. EventBridge
EventBridge Politiche gestite specifiche per Pipes
Amazon EventBridge Pipes collega le sorgenti di eventi alle destinazioni. Pipes riduce la necessità di conoscenze specialistiche e codice di integrazione per lo sviluppo di architetture basate su eventi. Ciò aiuta a garantire la coerenza tra le applicazioni dell'azienda. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Pipes:
AmazonEventBridgePipesFullAccess
Fornisce accesso completo ad Amazon EventBridge Pipes.
Nota
Questa policy prevede
iam:PassRole: EventBridge Pipes richiede questa autorizzazione per passare un ruolo di invocazione EventBridge per creare e avviare pipe.AmazonEventBridgePipesReadOnlyAccess
Fornisce accesso in sola lettura ad Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fornisce l'accesso in sola lettura e all'operatore (ovvero la possibilità di interrompere e avviare Pipes) ad Amazon EventBridge Pipes.
IAMruoli per l'invio di eventi
Per inoltrare gli eventi agli obiettivi, EventBridge ha bisogno di un IAM ruolo.
Per creare un IAM ruolo a cui inviare eventi EventBridge
Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Per creare un IAM ruolo, segui i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'IAMutente. e prendi nota di quanto segue:
-
In Nome ruolo, utilizza un nome univoco nel tuo account.
-
In Seleziona tipo di ruolo, scegli Ruoli di AWS servizio, quindi scegli Amazon EventBridge. Ciò concede EventBridge le autorizzazioni per assumere il ruolo.
-
In Allega politica, scegli. AmazonEventBridgeFullAccess
-
Puoi anche creare IAM politiche personalizzate per consentire le EventBridge autorizzazioni per azioni e risorse. È possibile allegare queste politiche personalizzate agli IAM utenti o ai gruppi che richiedono tali autorizzazioni. Per ulteriori informazioni sulle IAM politiche, vedere Panoramica delle IAM politiche nella Guida per l'IAMutente. Per ulteriori informazioni sulla gestione e la creazione IAM di politiche personalizzate, vedere Managing IAM Policies nella Guida IAM per l'utente.
Autorizzazioni necessarie per accedere EventBridge agli obiettivi utilizzando i ruoli IAM
EventBridge gli obiettivi in genere richiedono IAM ruoli che concedono il EventBridge permesso di richiamare l'obiettivo. Di seguito sono riportati alcuni esempi di vari AWS servizi e destinazioni. Per gli altri, usa la EventBridge console per creare una regola e creare un nuovo ruolo che verrà creato con una politica con autorizzazioni ben definite preconfigurate.
Le destinazioni Amazon SQSSNS, Amazon, Lambda, CloudWatch Logs e EventBridge bus non utilizzano ruoli e le autorizzazioni EventBridge devono essere concesse tramite una politica delle risorse. APIGli obiettivi Gateway possono utilizzare politiche o ruoli relativi alle risorse. IAM
Se la destinazione è una API destinazione, il ruolo specificato deve includere la seguente politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Se la destinazione è un flusso Kinesis, il ruolo utilizzato per inviare dati di eventi alla destinazione deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Se la destinazione è il comando run di Systems Manager e specifichi uno o più valori InstanceIds per il comando, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se la destinazione è il comando run di Systems Manager e specifichi uno o più tag per il comando, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se la destinazione è una macchina a AWS Step Functions stati, il ruolo specificato deve includere la seguente politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Se l'obiettivo è un'ECSattività Amazon, il ruolo specificato deve includere la seguente politica.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
La seguente politica consente agli obiettivi integrati EventBridge di eseguire EC2 azioni Amazon per tuo conto. Devi utilizzare il per AWS Management Console creare regole con obiettivi predefiniti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
La seguente politica consente di EventBridge inoltrare gli eventi agli stream Kinesis del tuo account.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Esempio di policy gestita dal cliente: utilizzo di tag per controllare l'accesso alle regole
L'esempio seguente mostra una politica utente che concede le autorizzazioni per le azioni. EventBridge Questa politica funziona quando si utilizza il EventBridge API AWS SDKs, o il AWS CLI.
È possibile concedere agli utenti l'accesso a EventBridge regole specifiche impedendo loro di accedere ad altre regole. A tal fine, contrassegnate entrambi i set di regole e quindi utilizzate IAM politiche che fanno riferimento a tali tag. Per ulteriori informazioni sull'etichettatura EventBridge delle risorse, consultaEtichettare le risorse in Amazon EventBridge.
È possibile concedere una IAM politica a un utente per consentire l'accesso solo alle regole con un tag particolare. Puoi scegliere a quali regole concedere l'accesso contrassegnandole con quel particolare tag. Ad esempio, la seguente policy garantisce a un utente l'accesso alle regole con il valore Prod per la chiave di tag Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Per ulteriori informazioni sull'utilizzo delle dichiarazioni IAM politiche, vedere Controllare l'accesso utilizzando le politiche nella Guida IAM per l'utente.
EventBridge Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite da EventBridge quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei EventBridge documenti.
| Modifica | Descrizione | Data |
|---|---|---|
|
AmazonEventBridgeFullAccess— Politica aggiornata |
AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata:
|
9 maggio 2024 |
|
AmazonEventBridgeSchemasFullAccess— Politica aggiornata |
AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata:
|
9 maggio 2024 |
|
AmazonEventBridgePipesFullAccess— Aggiunta una nuova politica |
EventBridge aggiunta una politica gestita per le autorizzazioni complete per l'utilizzo di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Aggiunta una nuova politica |
EventBridge aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle risorse informative di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgePipesOperatorAccess— Aggiunta una nuova politica |
EventBridge è stata aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle informazioni sui EventBridge tubi, nonché all'avvio e all'arresto delle pipe in esecuzione. |
1 dicembre 2022 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo delle funzionalità di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative di EventBridge Pipes. Sono state aggiunte le seguenti azioni:
|
1 dicembre 2022 |
|
CloudWatchEventsReadOnlyAccess: aggiornamento a una policy esistente |
Aggiornato per corrispondere AmazonEventBridgeReadOnlyAccess. |
1 dicembre 2022 |
|
CloudWatchEventsFullAccess: aggiornamento a una policy esistente |
Aggiornato per corrispondere AmazonEventBridgeFullAccess. |
1 dicembre 2022 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo degli schemi e delle funzionalità di pianificazione. Sono state aggiunte le seguenti autorizzazioni:
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative dello schema e dello scheduler. Sono state aggiunte le seguenti azioni:
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sugli endpoint. Sono state aggiunte le seguenti azioni:
|
7 aprile 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sulla connessione e API sulla destinazione. Sono state aggiunte le seguenti azioni:
|
4 marzo 2021 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica di inclusione Sono state aggiunte le seguenti azioni:
|
4 marzo 2021 |
|
EventBridge ha iniziato a tenere traccia delle modifiche |
EventBridge ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
4 marzo 2021 |
