Utilizzo di politiche basate sull'identità in Scheduler EventBridge - EventBridge Pianificatore
Best practice per le policyEventBridge Autorizzazioni SchedulerAWS politiche gestitePolicy gestite dal clienteAWS aggiornamenti delle politiche gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche basate sull'identità in Scheduler EventBridge

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse di Scheduler. EventBridge Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS API. Per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM policy. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.

Per informazioni su come creare una politica IAM basata sull'identità utilizzando questi documenti di esempioJSON, consulta Creazione di IAM politiche nella Guida per l'IAMutente.

Per dettagli sulle azioni e sui tipi di risorse definiti da EventBridge Scheduler, incluso il formato di ARNs per ogni tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon EventBridge Scheduler nel Service Authorization Reference.

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di EventBridge Scheduler nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta le politiche AWS gestite o le politiche AWS gestite per le funzioni lavorative nella Guida per l'IAMutente.

  • Applica le autorizzazioni con privilegi minimi: quando imposti le autorizzazioni con le IAM politiche, concedi solo le autorizzazioni necessarie per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo per applicare le autorizzazioni, consulta Politiche e autorizzazioni nella Guida IAM per l'utente. IAM IAM

  • Utilizza le condizioni nelle IAM politiche per limitare ulteriormente l'accesso: puoi aggiungere una condizione alle tue politiche per limitare l'accesso ad azioni e risorse. Ad esempio, puoi scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzandoSSL. È inoltre possibile utilizzare condizioni per concedere l'accesso alle azioni di servizio se vengono utilizzate tramite uno specifico AWS servizio, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.

  • Usa IAM Access Analyzer per convalidare IAM le tue policy e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio delle IAM policy () e alle best practice. JSON IAM IAMAccess Analyzer fornisce più di 100 controlli delle politiche e consigli pratici per aiutarti a creare policy sicure e funzionali. Per ulteriori informazioni, vedere Convalida delle policy di IAM Access Analyzer nella Guida per l'utente. IAM

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede l'utilizzo di IAM utenti o di un utente root Account AWS, attiva questa opzione MFA per una maggiore sicurezza. Per richiedere MFA quando vengono richiamate API le operazioni, aggiungi MFA delle condizioni alle tue politiche. Per ulteriori informazioni, consulta Configurazione dell'APIaccesso MFA protetto nella Guida per l'IAMutente.

Per ulteriori informazioni sulle procedure consigliate inIAM, consulta la sezione Procedure consigliate in materia di sicurezza IAM nella Guida per l'IAMutente.

EventBridge Autorizzazioni Scheduler

Affinché un IAM principale (utente, gruppo o ruolo) possa creare pianificazioni in EventBridge Scheduler e accedere alle risorse di EventBridge Scheduler tramite la console o ilAPI, il principale deve avere un set di autorizzazioni aggiunto alla propria politica di autorizzazione. È possibile configurare queste autorizzazioni in base alla funzione lavorativa del responsabile. Ad esempio, un utente o un ruolo che utilizza solo la console EventBridge Scheduler per visualizzare un elenco di pianificazioni esistenti non deve disporre delle autorizzazioni necessarie per chiamare l'operazione. CreateSchedule API Ti consigliamo di personalizzare le autorizzazioni basate sull'identità per fornire solo l'accesso con i privilegi minimi.

L'elenco seguente mostra le risorse di EventBridge Scheduler e le azioni supportate corrispondenti.

  • Pianificazione

    • scheduler:ListSchedules

    • scheduler:GetSchedule

    • scheduler:CreateSchedule

    • scheduler:UpdateSchedule

    • scheduler:DeleteSchedule

  • Gruppo di pianificazione

    • scheduler:ListScheduleGroups

    • scheduler:GetScheduleGroup

    • scheduler:CreateScheduleGroup

    • scheduler:DeleteScheduleGroup

    • scheduler:ListTagsForResource

    • scheduler:TagResource

    • scheduler:UntagResource

Puoi utilizzare le autorizzazioni di EventBridge Scheduler per creare le tue politiche gestite dai clienti da utilizzare con EventBridge Scheduler. È inoltre possibile utilizzare le politiche AWS gestite descritte nella sezione seguente per concedere le autorizzazioni necessarie per casi d'uso comuni senza dover gestire le proprie politiche.

AWS politiche gestite per Scheduler EventBridge

AWS affronta molti casi d'uso comuni fornendo IAM politiche autonome che AWS creano e amministrano. Le policy gestite, dette anche predefinite, concedono le autorizzazioni necessarie per casi d'uso comune, in modo da non dover determinare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida per l'IAMutente. Le seguenti politiche AWS gestite che puoi allegare agli utenti del tuo account sono specifiche di EventBridge Scheduler:

AmazonEventBridgeSchedulerFullAccess

La politica AmazonEventBridgeSchedulerFullAccess gestita concede le autorizzazioni per utilizzare tutte le azioni di EventBridge Scheduler per le pianificazioni e i gruppi di pianificazioni. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "scheduler:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

AmazonEventBridgeSchedulerReadOnlyAccess

La politica AmazonEventBridgeSchedulerReadOnlyAccess gestita concede autorizzazioni di sola lettura per visualizzare i dettagli sulle pianificazioni e sui gruppi di pianificazioni. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "scheduler:ListSchedules",
                "scheduler:ListScheduleGroups",
                "scheduler:GetSchedule",
                "scheduler:GetScheduleGroup",
                "scheduler:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Politiche gestite dal cliente per Scheduler EventBridge

Utilizza i seguenti esempi per creare politiche personalizzate gestite dai clienti per EventBridge Scheduler. Le politiche gestite dai clienti consentono di concedere le autorizzazioni solo per le azioni e le risorse necessarie per le applicazioni e gli utenti del team in base alla funzione lavorativa del responsabile.

Esempio: CreateSchedule

Quando crei una nuova pianificazione, scegli se crittografare i tuoi dati su EventBridge Scheduler utilizzando una chiave o una chiave Chiave di proprietà di AWSgestita dal cliente.

La seguente politica consente a un responsabile di creare una pianificazione e applicare la crittografia utilizzando un. Chiave di proprietà di AWS Con an Chiave di proprietà di AWS, AWS gestisce le risorse su AWS Key Management Service (AWS KMS) per te in modo da non aver bisogno di autorizzazioni aggiuntive con AWS KMS cui interagire. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:CreateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Utilizza la seguente politica per consentire a un responsabile di creare una pianificazione e utilizzare una chiave gestita AWS KMS dal cliente per la crittografia. Per utilizzare una chiave gestita dal cliente, l'amministratore deve disporre dell'autorizzazione ad accedere alle AWS KMS risorse del tuo account. Questa politica consente l'accesso a una singola KMS chiave specificata da utilizzare per crittografare i dati su EventBridge Scheduler. In alternativa, puoi utilizzare un carattere wildcard (*) per concedere l'accesso a tutte le chiavi di un account o a un sottoinsieme che corrisponde a un determinato modello di nome. 

{
    "Version": "2012-10-17"
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:CreateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:kms:us-west-2:123456789012:key/my-key-id"
            ],
            "Conditions": {
                "StringLike": {
                    "kms:ViaService": "scheduler.amazonaws.com",
                    "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            }
        }
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Esempio: GetSchedule

Utilizzate la seguente politica per consentire a un preside di ottenere informazioni su una pianificazione. 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:GetSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        }
    ]
}

Esempio: UpdateSchedule

Utilizza le seguenti politiche per consentire a un responsabile di aggiornare una pianificazione richiamando l'scheduler:UpdateScheduleazione. AnalogamenteCreateSchedule, la politica dipende dal fatto che la pianificazione utilizzi una chiave di crittografia AWS KMS Chiave di proprietà di AWS o una chiave gestita dal cliente per la crittografia. Per una pianificazione configurata con un Chiave di proprietà di AWS, utilizza la seguente politica: 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:UpdateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Per una pianificazione configurata con una chiave gestita dal cliente, utilizza la seguente politica. Questa politica include autorizzazioni aggiuntive che consentono a un principale di accedere alle AWS KMS risorse del tuo account: 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Action":
            [
                "scheduler:UpdateSchedule"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name
        },
        {
            "Action":
            [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource":
            [
                "arn:aws:kms:us-west-2:123456789012:key/my-key-id"
            ],
            "Conditions": {
                "StringLike": {
                    "kms:ViaService": "scheduler.amazonaws.com",
                    "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name"
            }
        }
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

Esempio: DeleteScheduleGroup

Utilizza la seguente politica per consentire a un responsabile di eliminare un gruppo di pianificazioni. Quando si elimina un gruppo, si eliminano anche le pianificazioni associate a quel gruppo. Il responsabile che elimina il gruppo deve disporre dell'autorizzazione per eliminare anche le pianificazioni associate a quel gruppo. Questa politica concede l'autorizzazione principale a richiamare l'scheduler:DeleteScheduleGroupazione sui gruppi di pianificazioni specificati, nonché su tutte le pianificazioni del gruppo:

Nota

EventBridge Scheduler non supporta la specificazione delle autorizzazioni a livello di risorsa per le singole pianificazioni. Ad esempio, la seguente dichiarazione non è valida e non deve essere inclusa nella politica:

"Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "scheduler:DeleteSchedule",
            "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/*"
        },
        {
            "Effect": "Allow",
            "Action": "scheduler:DeleteScheduleGroup",
            "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "scheduler.amazonaws.com"
                }
            }
        }
    ]
}

AWS aggiornamenti delle politiche gestite

Modifica Descrizione Data

AmazonEventBridgeSchedulerFullAccess— Nuova politica gestita

EventBridge Scheduler aggiunge il supporto per una nuova politica gestita che garantisce agli utenti l'accesso completo a tutte le risorse, incluse le pianificazioni e i gruppi di pianificazione.

10 novembre 2022

AmazonEventBridgeSchedulerReadOnlyAccess— Nuova politica gestita

EventBridge Scheduler aggiunge il supporto per una nuova policy gestita che garantisce agli utenti l'accesso in sola lettura a tutte le risorse, incluse le pianificazioni e i gruppi di pianificazione.

10 novembre 2022

EventBridge Scheduler ha iniziato a tenere traccia delle modifiche

EventBridge Scheduler ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

10 novembre 2022