As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (IAMpolíticas) para a Amazon EventBridge
Políticas baseadas em identidade são políticas de permissões que você pode anexar às IAM identidades.
AWS políticas gerenciadas para EventBridge
AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pela AWS. Políticas gerenciadas, ou predefinidas, concedem as permissões necessárias para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para obter mais informações, consulte políticas AWS gerenciadas no Guia IAM do usuário.
As seguintes políticas AWS gerenciadas que você pode anexar aos usuários em sua conta são específicas para EventBridge:
-
AmazonEventBridgeFullAccess— Concede acesso total a EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Concede acesso somente de leitura a EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e Scheduler. EventBridge
AmazonEventBridgeFullAccess política
A AmazonEventBridgeFullAccess política concede permissões para usar todas EventBridge as ações, bem como as seguintes permissões:
-
iam:CreateServiceLinkedRole— EventBridge requer essa permissão para criar a função de serviço em sua conta para API destinos. Essa permissão concede somente ao IAM serviço permissões para criar uma função em sua conta especificamente para API destinos. -
iam:PassRole— EventBridge requer essa permissão para passar uma função de invocação para EventBridge invocar o destino de uma regra. -
Permissões do Secrets Manager — EventBridge requer essas permissões para gerenciar segredos em sua conta quando você fornece credenciais por meio do recurso de conexão para autorizar Destinos. API
O seguinte JSON mostra a AmazonEventBridgeFullAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsFullAccess. No entanto, é altamente recomendável que você use a Amazon EventBridge em vez da Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess política
A AmazonEventBridgeReadOnlyAccess política concede permissões para usar todas as EventBridge ações de leitura.
O seguinte JSON mostra a AmazonEventBridgeReadOnlyAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsReadOnlyAccess. No entanto, é altamente recomendável que você use a Amazon EventBridge em vez da Amazon CloudWatch Events.
EventBridge Políticas gerenciadas específicas do esquema
Um esquema define a estrutura dos eventos para os quais são enviados EventBridge. EventBridge fornece esquemas para todos os eventos gerados pelos AWS serviços. As seguintes políticas AWS gerenciadas específicas para EventBridge esquemas estão disponíveis:
EventBridge Políticas gerenciadas específicas do agendador
O Amazon EventBridge Scheduler é um programador sem servidor que permite criar, executar e gerenciar tarefas a partir de um serviço gerenciado central. Para políticas AWS gerenciadas específicas do EventBridge Scheduler, consulte políticas AWS gerenciadas para o EventBridge Scheduler no Guia do usuário do EventBridge Scheduler.
EventBridge Políticas gerenciadas específicas para tubos
O Amazon EventBridge Pipes conecta as fontes de eventos aos alvos. O Pipes reduz a necessidade de conhecimento especializado e de código de integração ao desenvolver arquiteturas orientada por eventos. Isto ajuda a garantir a consistência em todas as aplicações da sua empresa. As seguintes políticas AWS gerenciadas específicas do EventBridge Pipes estão disponíveis:
AmazonEventBridgePipesFullAccess
Fornece acesso total ao Amazon EventBridge Pipes.
nota
Esta política fornece
iam:PassRole— EventBridge Pipes requer essa permissão para passar uma função de invocação EventBridge para criar e iniciar pipes.AmazonEventBridgePipesReadOnlyAccess
Fornece acesso somente para leitura ao Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fornece acesso somente de leitura e de operador (ou seja, a capacidade de parar e começar a executar o Pipes) ao Amazon EventBridge Pipes.
IAMfunções para envio de eventos
Para transmitir eventos aos alvos, EventBridge precisa de uma IAM função.
Para criar uma IAM função para enviar eventos para EventBridge
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Para criar uma IAM função, siga as etapas em Criar uma função para delegar permissões a um AWS serviço no Guia do IAM usuário. À medida que você realizar as etapas, observe o seguinte:
-
Em Nome do perfil, use um nome que seja exclusivo em sua conta.
-
Em Selecionar tipo de função, escolha AWS Service Roles e, em seguida, escolha Amazon EventBridge. Isso concede EventBridge permissões para assumir a função.
-
Em Anexar política, escolha AmazonEventBridgeFullAccess.
-
Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para EventBridge ações e recursos. Você pode anexar essas políticas personalizadas aos IAM usuários ou grupos que exigem essas permissões. Para obter mais informações sobre IAM políticas, consulte Visão geral das IAM políticas no Guia IAM do usuário. Para obter mais informações sobre como gerenciar e criar IAM políticas personalizadas, consulte Gerenciamento de IAM políticas no Guia IAM do usuário.
Permissões necessárias EventBridge para acessar alvos usando IAM funções
EventBridge os alvos normalmente exigem IAM funções que concedam permissão EventBridge para invocar o alvo. A seguir estão alguns exemplos de vários AWS serviços e alvos. Para outros, use o EventBridge console para criar uma regra e criar uma nova função que será criada com uma política com permissões bem definidas pré-configuradas.
AmazonSQS, AmazonSNS, Lambda, CloudWatch Logs e destinos de EventBridge ônibus não usam funções, e as permissões EventBridge devem ser concedidas por meio de uma política de recursos. APIOs alvos do gateway podem usar políticas ou IAM funções de recursos.
Se o alvo for um API destino, a função que você especificar deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Se o destino for um fluxo do Kinesis, o perfil usado para enviar dados de eventos para o destino deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Se o destino for o comando executar do Systems Manager e forem especificados um ou mais valores InstanceIds para o comando, o perfil especificado deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for o comando executar do Systems Manager e você especificar uma ou mais tags para o comando, o perfil que você especificar deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for uma máquina de AWS Step Functions estado, a função especificada deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Se o destino for uma ECS tarefa da Amazon, a função que você especificar deverá incluir a seguinte política.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
A política a seguir permite que alvos integrados realizem EventBridge EC2 ações da Amazon em seu nome. Você precisa usar o AWS Management Console para criar regras com alvos integrados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
A política a seguir permite EventBridge retransmitir eventos para os streams do Kinesis em sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Exemplo de política gerenciada pelo cliente: uso de marcações para controlar o acesso às regras
O exemplo a seguir mostra uma política de usuário que concede permissões para EventBridge ações. Essa política funciona quando você usa o EventBridge API AWS SDKs,, ou AWS CLI o.
Você pode conceder aos usuários acesso a EventBridge regras específicas e, ao mesmo tempo, impedir que eles acessem outras regras. Para fazer isso, você marca os dois conjuntos de regras e usa IAM políticas que se referem a essas tags. Para obter mais informações sobre a marcação de EventBridge recursos, consulteRecursos de marcação na Amazon EventBridge.
Você pode conceder uma IAM política a um usuário para permitir o acesso somente às regras com uma tag específica. As regras são escolhidas para conceder acesso ao marcá-las com esta tag específica. Por exemplo, a política a seguir concede acesso a regras com o valor Prod para a chave de tag Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Para obter mais informações sobre o uso IAM de declarações de política, consulte Controlando o acesso usando políticas no Guia IAM do usuário.
EventBridge Atualizações da Amazon para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas EventBridge desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do EventBridge documento.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonEventBridgeFullAccess: política atualizada |
AWS GovCloud (US) Regions somente A permissão a seguir não está incluída, pois não é usada:
|
9 de maio de 2024 |
|
AmazonEventBridgeSchemasFullAccess: política atualizada |
AWS GovCloud (US) Regions somente A permissão a seguir não está incluída, pois não é usada:
|
9 de maio de 2024 |
|
AmazonEventBridgePipesFullAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para permissões completas de uso do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para permissões para visualizar os recursos EventBridge de informações do Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesOperatorAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para obter permissões para visualizar as informações do EventBridge Pipes, bem como iniciar e parar de operar os tubos. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualizar para uma política existente |
EventBridge atualizou a política para incluir as permissões necessárias para usar os recursos do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualizar para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar os recursos EventBridge de informações do Pipes. As seguintes ações foram adicionadas:
|
1º de dezembro de 2022 |
|
CloudWatchEventsReadOnlyAccess: atualizar para uma política existente |
Atualizado para corresponder AmazonEventBridgeReadOnlyAccess. |
1º de dezembro de 2022 |
|
CloudWatchEventsFullAccess: atualizar para uma política existente |
Atualizado para corresponder AmazonEventBridgeFullAccess. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualizar para uma política existente |
EventBridge atualizou a política para incluir as permissões necessárias para usar esquemas e recursos do agendador. As seguintes permissões foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualizar para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar os recursos de informações do esquema e do agendador. As seguintes ações foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualizar para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar as informações do endpoint. As seguintes ações foram adicionadas:
|
7 de abril de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualizar para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar as informações de conexão e API destino. As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
AmazonEventBridgeFullAccess: atualizar para uma política existente |
EventBridge atualizou a política para incluir As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
EventBridge começou a rastrear as alterações |
EventBridge começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
4 de março de 2021 |
