Permissões de origem de eventos do Amazon EventBridge Pipes
Ao configurar um pipe, é possível usar um perfil de execução existente ou fazer com que o EventBridge crie um para você com as permissões necessárias. As permissões que o EventBridge Pipes exige variam de acordo com o tipo de origem e estão listadas abaixo. Se estiver configurando seu próprio perfil de execução, deverá adicionar essas permissões.
nota
Se não tiver certeza das permissões exatas e bem definidas necessárias para acessar a origem, use o console do EventBridge Pipes para criar um novo perfil e inspecione as ações listadas na política.
Tópicos
- Permissões do perfil de execução do DynamoDB
- Permissões do perfil de execução do Kinesis
- Permissões do perfil de execução do Amazon MQ
- Permissões do perfil de execução do Amazon MSK
- Permissões autogerenciadas do perfil de execução do Apache Kafka
- Permissões do perfil de execução do Amazon SQS
- Permissões de enriquecimento e destino
Permissões do perfil de execução do DynamoDB
Em DynamoDB Streams, o EventBridge Pipes exige as seguintes permissões para gerenciar recursos relacionados ao seu fluxo de dados do DynamoDB.
Para enviar registros de lotes com falha para a fila de mensagens não entregues do pipe, sua função de execução do pipe precisa da seguinte permissão:
Permissões do perfil de execução do Kinesis
No Kinesis, o EventBridge Pipes exige as seguintes permissões para gerenciar recursos relacionados ao seu fluxo de dados do Kinesis.
Para enviar registros de lotes com falha para a fila de mensagens não entregues do pipe, sua função de execução do pipe precisa da seguinte permissão:
Permissões do perfil de execução do Amazon MQ
Para o Amazon MQ, o EventBridge Pipes exige as seguintes permissões para gerenciar recursos relacionados ao seu agente de mensagens do Amazon MQ.
Permissões do perfil de execução do Amazon MSK
Para o Amazon MSK, o EventBridge exige as permissões a seguir para gerenciar recursos relacionados ao seu tópico do Amazon MSK.
nota
Se estiver usando a autenticação baseada em perfis do IAM, seu perfil de execução precisará das permissões listadas em Autenticação baseada em função do IAM, além das listadas abaixo.
Permissões autogerenciadas do perfil de execução do Apache Kafka
Para o Apache Kafka autogerenciado, o EventBridge exige as seguintes permissões para gerenciar recursos relacionados ao seu fluxo autogerenciado do Apache Kafka.
Permissões obrigatórias
Para criar e armazenar logs em um grupo de logs do Amazon CloudWatch Logs, seu pipe deve ter as seguintes permissões no perfil de execução:
Permissões opcionais.
Seu pipe também pode precisar dessas permissões para:
Descreva o segredo do Secrets Manager.
Acessar a chave gerenciada pelo cliente AWS Key Management Service (AWS KMS)
Acesse sua Amazon VPC.
Secrets Manager e permissões do AWS KMS
Conforme o tipo de controle de acesso que está sendo configurado para seus agentes do Apache Kafka, seu pipe poderá precisar de permissão para acessar seu segredo do Secrets Manager ou descriptografar sua chave do AWS KMS gerenciada pelo cliente. Para acessar esses recursos, a função de execução da função precisa ter as seguintes permissões:
Permissões da VPC
Se somente os usuários dentro de uma VPC puderem acessar seu cluster do Apache Kafka autogerenciado, seu pipe deverá ter permissão para acessar seus recursos da Amazon VPC. Esses recursos incluem sua VPC, sub-redes, security groups e interfaces de rede. Para acessar esses recursos, o perfil de execução do pipe precisa ter as seguintes permissões:
Permissões do perfil de execução do Amazon SQS
Para o Amazon SQS, o EventBridge exige as permissões a seguir para gerenciar recursos relacionados à sua fila do Amazon SQS.
Permissões de enriquecimento e destino
Para fazer chamadas de API para os seus próprios recursos, o EventBridge Pipes precisa da permissão adequada. O EventBridge Pipes usa o perfil do IAM especificado no pipe para enriquecimento e chamadas de destino usando a entidade principal pipes.amazonaws.com do IAM.
