Amazon EventBridge Pipes のイベントソースのアクセス許可

パイプをセットアップするときは、既存の実行ロールを使用するか、必要なアクセス許可により、実行ロールを EventBridge に作成させることができます。EventBridge Pipes に必要なアクセス許可は、以下に示すようにソースタイプによって異なります。独自の実行ロールを設定する場合は、これらのアクセス許可を自分で追加する必要があります。

DynamoDB 実行ロールのアクセス許可

DynamoDB Streams の場合、EventBridge Pipes は、DynamoDB データストリームに関連するリソースを管理するための以下のアクセス許可が必要です。

失敗したバッチのレコードをパイプのデッドレターキューに送信するには、パイプ実行ロールに次のアクセス許可が必要です。

Kinesis 実行ロールのアクセス許可

Kinesis の場合、EventBridge Pipes は、Kinesis データストリームに関連するリソースを管理するための以下のアクセス許可が必要です。

失敗したバッチのレコードをパイプデッドレターキューに送信するには、パイプ実行ロールに次のアクセス許可が必要です。

Amazon MQ 実行ロールのアクセス許可

Amazon MQ の場合、EventBridge では Amazon MQ メッセージブローカーに関連するリソースを管理するために以下のアクセス許可が必要です。

Amazon MSK 実行ロールのアクセス許可

Amazon MSK の場合、EventBridge では Amazon MSK トピックに関連するリソースを管理するために以下のアクセス許可が必要です。

セルフマネージド型の Apache Kafka 実行ロールのアクセス許可

セルフマネージド Apache Kafka の場合、EventBridge はセルフマネージド Apache Kafka ストリームに関連するリソースを管理するために以下のアクセス許可を必要とします。

必要なアクセス許可

Amazon CloudWatch Logs のロググループでログを作成して保存するには、パイプの実行ロールに以下の許可が必要です。

オプションのアクセス許可

パイプには、以下を実行する許可も必要になる場合があります。

Secrets Manager と AWS KMS 許可

Apache Kafka ブローカーに設定しているアクセスコントロールのタイプに応じて、パイプには Secrets Manager シークレットにアクセスするための許可、または AWS KMS カスタマーマネージドキーを復号化するための許可が必要になる場合があります。それらのリソースにアクセスするには、関数の実行ロールに次のアクセス許可が必要です。

VPC アクセス許可

セルフマネージド Apache Kafka クラスターにアクセスできるのが VPC 内のユーザーのみである場合、パイプには Amazon VPC リソースにアクセスするための許可が必要です。これらのリソースには、VPC、サブネット、セキュリティグループ、ネットワークインターフェイスが含まれます。それらのリソースにアクセスするには、パイプの実行ロールに次のアクセス許可が必要です。

Amazon SQS 実行ロールのアクセス許可

Amazon SQS の場合、EventBridge では Amazon SQS キューに関連するリソースを管理するために以下のアクセス許可が必要です。

エンリッチメントとターゲットのアクセス許可

所有するリソースで API をコールするには、EventBridge Pipes に適切な許可が必要です。EventBridge Pipes は、IAM プリンシパル pipes.amazonaws.com を使用して、パイプで指定した IAM ロールをエンリッチメントとターゲットコールに使用します。