Amazon EventBridge リソースへのアクセス許可の管理 - Amazon EventBridge
リソースおよびオペレーションリソース所有権リソースへのアクセスの管理ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーでの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EventBridge リソースへのアクセス許可の管理

ルールイベントなどの EventBridge リソースへのアクセスは、アイデンティティベースまたはリソースベースのポリシーを使用して管理します。

EventBridge リソース

EventBridge リソースとサブリソースには、一意の Amazon リソースネーム (ARNs) が関連付けられています。イベントパターンを作成するには EventBridge 、 ARNsで を使用します。の詳細についてはARNs、「」の「Amazon リソースネーム (ARN)」と AWS 「サービス名前空間」を参照してくださいAmazon Web Services 全般のリファレンス

リソースを操作するための EventBridge オペレーションのリストについては、「」を参照してくださいAmazon EventBridge アクセス許可リファレンス

注記

のほとんどのサービスは、コロン (:) またはスラッシュ (/) を の同じ文字として AWS 扱いますARNs。ただし、イベントパターンとルールでは完全一致 EventBridge を使用します。イベントパターンを作成するときは、一致させたいイベントのARN構文と一致するように、正しいARN文字を使用してください。

次の表は、 のリソースを示しています EventBridge。

リソースタイプ ARN 形式

アーカイブ

arn:aws:events:region:account:archive/archive-name

リプレイ

arn:aws:events:region:account:replay/replay-name

ルール

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

イベントバス

arn:aws:events:region:account:event-bus/event-bus-name

すべての EventBridge リソース

arn:aws:events:*

指定されたリージョン内の指定されたアカウントが所有するすべての EventBridge リソース

arn:aws:events:region:account:*

次の例は、特定のルール (myRule) を ステートメントで使用しますARN。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

特定のアカウントに属するすべてのルールを指定するには、以下のようにアスタリスク (*) ワイルドカードを使用します。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

すべてのリソースを指定する場合、または特定のAPIアクションが をサポートしていない場合はARNs、次のように Resource要素でアスタリスク (*) ワイルドカードを使用します。

"Resource": "*"

複数のリソースまたは を 1 つのステートメントPutTargetsで指定するには、次のようにカンマARNsで区切ります。

"Resource": ["arn1", "arn2"]

リソース所有権

アカウントは、誰がリソースを作成したかにかかわらず、そのアカウント内のリソースを所有します。リソース所有者は、プリンシパルエンティティ のアカウント、アカウントのルートユーザー、リソースの作成リクエストを認証するIAMユーザーまたはロールです。次の例は、この仕組みを示しています。

  • アカウントのルートユーザー認証情報を使用してルールを作成する場合、アカウントは EventBridge リソースの所有者です。

  • アカウントに ユーザーを作成し、そのユーザーに EventBridge リソースを作成するアクセス許可を付与すると、そのユーザーは EventBridge リソースを作成できます。ただし、ユーザーが属する アカウントが EventBridge リソースを所有します。

  • リソースを作成するアクセス許可を持つ アカウントに IAM ロールを作成する EventBridgeと、ロールを引き受けることのできるすべてのユーザーが EventBridge リソースを作成できます。ロールが属する アカウントが EventBridge リソースを所有します。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、 のコンテキストIAMでの の使用について説明します EventBridge。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、「 ユーザーガイド」のIAM「 とは」を参照してください。 IAM IAM ポリシーの構文と説明については、「 ユーザーガイド」の「 IAMポリシーリファレンスIAM」を参照してください。

IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシー と呼ばれます。では EventBridge、アイデンティティベースのポリシー (IAM ポリシー) とリソースベースのポリシーの両方を使用できます。

アイデンティティベースのポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループに許可ポリシーをアタッチする – Amazon CloudWatch コンソールでルールを表示する許可をユーザーに付与するには、ユーザーが属するユーザーまたはグループに許可ポリシーをアタッチします。

  • アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。例えば、アカウント A の管理者は、次のように別のアカウント B または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。

    1. アカウント A の管理者は、 IAMロールを作成し、アカウント A のリソースに対するアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。

    2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。

    3. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーは、アカウント A のリソースを作成またはアクセスできます。信頼ポリシーのプリンシパルは、ロールを引き受けるために必要なアクセス許可を AWS サービスに付与する AWS サービスプリンシパルになることもできます。

    を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理IAM」を参照してください。

特定のIAMポリシーを作成して、アカウントのユーザーがアクセスできる呼び出しとリソースを制限し、それらのポリシーをユーザーにアタッチできます。IAM ロールの作成方法と のIAMポリシーステートメントの例については EventBridge、「」を参照してくださいAmazon EventBridge リソースへのアクセス許可の管理

リソースベースのポリシー (IAM ポリシー)

ルールが で実行されると EventBridge、そのルールに関連付けられているすべてのターゲットが呼び出されます。つまり、 AWS Lambda 関数の呼び出し、Amazon SNSトピックへの発行、または Amazon Kinesis ストリームへのイベントの中継が行われます。所有しているリソースで をAPI呼び出すには、 に適切なアクセス許可 EventBridge が必要です。Lambda、Amazon SNSおよび Amazon SQSリソースの場合、 はリソースベースのポリシー EventBridge を使用します。Kinesis ストリームの場合、 IAMロール EventBridge を使用します。

IAM ロールの作成方法と、 のリソースベースのポリシーステートメントの例については EventBridge、「」を参照してくださいAmazon でのリソースベースのポリシーの使用 EventBridge

ポリシー要素 (アクション、効果、プリンシパル) の指定

EventBridge リソースごとに、 は一連のAPIオペレーション EventBridge を定義します。これらのAPIオペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション EventBridge を定義します。一部のAPIオペレーションでは、APIオペレーションを実行するために複数のアクションに対するアクセス許可が必要です。リソースとAPIオペレーションの詳細については、「」およびEventBridge リソース「」を参照してくださいAmazon EventBridge アクセス許可リファレンス

以下は、基本的なポリシーの要素です。

  • リソース — Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「EventBridge リソース」を参照してください。

  • アクション – キーワードを使用して、許可または拒否するリソースオペレーションを識別します。例えば、events:Describe 権限は、Describe オペレーションの実行をユーザーに許可します。

  • 効果許可または拒否 のいずれかを指定します。リソースへのアクセスを明示的に許可していない場合、アクセスは拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーがそのリソースにアクセスできるかどうかは不確実になります。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」のIAMJSON「 ポリシーリファレンスIAM」を参照してください。

アクションとそれらが適用されるリソースの詳細については EventBridge API、「」を参照してくださいAmazon EventBridge アクセス許可リファレンス

ポリシーでの条件の指定

アクセス許可を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

条件を定義には、条件キーを使用します。必要に応じて使用できる AWS 条件キーと EventBridge 特定のキーがあります。 AWS キーの完全なリストについては、「 IAMユーザーガイド」の「条件に使用可能なキー」を参照してください。 EventBridge 特定のキーの完全なリストについては、「」を参照してくださいAmazon でのIAMポリシー条件の使用 EventBridge