Configurando o Amazon EventBridge Scheduler - EventBridge Agendador

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon EventBridge Scheduler

Antes de usar o EventBridge Scheduler, você deve concluir as etapas a seguir.

Inscreva-se para AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS
  1. Abra a https://portal.aws.amazon.com/billing/inscrição.

  2. Siga as instruções online.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário root tem acesso a todos Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

Criar um usuário do IAM

Para criar um usuário administrador, selecione uma das opções a seguir.

Selecionar uma forma de gerenciar o administrador Para Por Você também pode
No IAM Identity Center

(Recomendado)

Use credenciais de curto prazo para acessar AWS.

Isso está de acordo com as práticas recomendadas de segurança. Para obter informações sobre as melhores práticas, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Seguindo as instruções em Introdução no AWS IAM Identity Center Guia do usuário. Configure o acesso programático configurando o AWS CLI para usar AWS IAM Identity Center no AWS Command Line Interface Guia do usuário.
Em IAM

(Não recomendado)

Use credenciais de longo prazo para acessar AWS. Siga as instruções em Criar seu primeiro usuário IAM administrador e grupo de usuários no Guia do IAM usuário. Configure o acesso programático gerenciando as chaves de acesso para IAM usuários no Guia do IAM usuário.

Políticas gerenciadas pelo uso

Na etapa anterior, você configurou um IAM usuário com as credenciais para acessar seu AWS recursos. Na maioria dos casos, para usar o EventBridge Agendador com segurança, recomendamos que você crie usuários, grupos ou funções separados apenas com as permissões necessárias para usar o Agendador. EventBridge EventBridge O Scheduler oferece suporte às seguintes políticas gerenciadas para casos de uso comuns.

Você pode anexar essas políticas gerenciadas aos seus IAM diretores da mesma forma que anexou a AdministratorAccess política na etapa anterior. Para obter mais informações sobre como gerenciar o acesso ao EventBridge Scheduler usando IAM políticas baseadas em identidade, consulte. Usando políticas baseadas em identidade no Scheduler EventBridge

Configurar o perfil de execução

Uma função de execução é uma IAM função que o EventBridge Scheduler assume para interagir com outros Serviços da AWS em seu nome. Você anexa políticas de permissão a essa função para conceder ao EventBridge Agendador acesso para invocar alvos.

Você também pode criar uma nova função de execução ao usar o console para criar uma nova agenda. Se você usa o console, o EventBridge Scheduler cria uma função em seu nome com permissões com base no alvo escolhido. Quando o EventBridge Scheduler cria uma função para você, a política de confiança da função inclui chaves de condição que limitam quais diretores podem assumir a função em seu nome. Isso evita o potencial problema de segurança delegada confusa.

As etapas a seguir descrevem como criar uma nova função de execução e como conceder acesso ao EventBridge Scheduler para invocar um destino. Este tópico descreve as permissões para destinos modelados populares. Para obter informações sobre como adicionar permissões para outros destinos, consulte Usando alvos modelados no EventBridge Scheduler.

Para criar uma função de execução usando o AWS CLI
  1. Copie a seguinte JSON política de assumir funções e salve-a localmente comoScheduler-Execution-Role.json. Essa política de confiança permite que o EventBridge Scheduler assuma a função em seu nome.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "scheduler.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    Importante

    Para configurar uma função de execução em um ambiente de produção, recomendamos a implementação de salvaguardas adicionais para evitar problemas de segurança delegada confusa. Para obter mais informações e um exemplo de política, consulte Prevenção delegada confusa no EventBridge Scheduler.

  2. Do AWS Command Line Interface (AWS CLI), digite o comando a seguir para criar uma nova função. Substitua SchedulerExecutionRole pelo nome que você deseja atribuir a essa função.

    $ aws iam create-role --role-name SchedulerExecutionRole --assume-role-policy-document file://Scheduler-Execution-Role.json

    Se o teste for bem-sucedido, você verá o seguinte resultado:

    {
        "Role": {
            "Path": "/",
            "RoleName": "Scheduler-Execution-Role",
            "RoleId": "BR1L2DZK3K4CTL5ZF9EIL",
            "Arn": "arn:aws:iam::123456789012:role/SchedulerExecutionRole",
            "CreateDate": "2022-03-10T18:45:01+00:00",
            "AssumeRolePolicyDocument": {
                "Version": "2012-10-17",
                "Statement": [
                    {
                        "Effect": "Allow",
                        "Principal": {
                            "Service": "scheduler.amazonaws.com"
                        },
                        "Action": "sts:AssumeRole"
                    }
                ]
            }
        }
    }
  3. Para criar uma nova política que permita que o EventBridge Scheduler invoque um alvo, escolha um dos seguintes alvos comuns. Copie a política de JSON permissão e salve-a localmente como um .json arquivo.

    Amazon SQS – SendMessage

    O seguinte permite que o EventBridge Scheduler execute a sqs:SendMessage ação em todas as SQS filas da Amazon em sua conta.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sqs:SendMessage" ], "Effect": "Allow", "Resource": "*" } ] }
    Amazon SNS – Publish

    O seguinte permite que o EventBridge Scheduler execute a sns:Publish ação em todos os SNS tópicos da Amazon em sua conta.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sns:Publish" ], "Effect": "Allow", "Resource": "*" } ] }
    Lambda – Invoke

    O seguinte permite que o EventBridge Scheduler chame a lambda:InvokeFunction ação em todas as funções do Lambda em sua conta.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction" ], "Effect": "Allow", "Resource": "*" } ] }
  4. Execute o seguinte comando para criar a nova política de permissão: Substitua PolicyName pelo nome que você deseja atribuir a essa política.

    $ aws iam create-policy --policy-name PolicyName --policy-document file://PermissionPolicy.json

    Se for bem-sucedido, você verá o seguinte resultado: Observe a políticaARN. Você usa isso ARN na próxima etapa para anexar a política à nossa função de execução.

    {
        "Policy": {
            "PolicyName": "PolicyName",
            "CreateDate": "2022-03-015T19:31:18.620Z",
            "AttachmentCount": 0,
            "IsAttachable": true,
            "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
            "DefaultVersionId": "v1",
            "Path": "/",
            "Arn": "arn:aws:iam::123456789012:policy/PolicyName",
            "UpdateDate": "2022-03-015T19:31:18.620Z"
        }
    }
    
  5. Para associar a política à sua função de execução, execute o comando a seguir. your-policy-arnARNSubstitua pela política que você criou na etapa anterior. Substitua SchedulerExecutionRole pelo nome da sua função de execução.

    $ aws iam attach-role-policy --policy-arn your-policy-arn --role-name SchedulerExecutionRole

    A operação attach-role-policy não retorna uma resposta na linha de comando.

Configurar um destino

Antes de criar uma agenda do EventBridge Scheduler, você precisa de pelo menos uma meta para sua agenda invocar. Você pode usar um existente AWS recurso ou crie um novo. As etapas a seguir mostram como criar uma nova SQS fila padrão da Amazon com AWS CloudFormation.

Para criar uma nova SQS fila da Amazon
  1. Copie o seguinte JSON AWS CloudFormation modelo e salve-o localmente comoSchedulerTargetSQS.json.

    { "AWSTemplateFormatVersion": "2010-09-09", "Resources": { "MyQueue": { "Type": "AWS::SQS::Queue", "Properties": { "QueueName": "MyQueue" } } }, "Outputs": { "QueueName": { "Description": "The name of the queue", "Value": { "Fn::GetAtt": [ "MyQueue", "QueueName" ] } }, "QueueURL": { "Description": "The URL of the queue", "Value": { "Ref": "MyQueue" } }, "QueueARN": { "Description": "The ARN of the queue", "Value": { "Fn::GetAtt": [ "MyQueue", "Arn" ] } } } }
  2. Do AWS CLI, execute o comando a seguir para criar um AWS CloudFormation pilha do Scheduler-Target-SQS.json modelo.

    $ aws cloudformation create-stack --stack-name Scheduler-Target-SQS --template-body file://Scheduler-Target-SQS.json

    Se o teste for bem-sucedido, você verá o seguinte resultado:

    {
        "StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/Scheduler-Target-SQS/1d2af345-a121-12eb-abc1-012e34567890"
    }
  3. Execute o comando a seguir para visualizar as informações resumidas do seu AWS CloudFormation pilha. Essas informações incluem o status da pilha e as saídas especificadas no modelo.

    $ aws cloudformation describe-stacks --stack-name Scheduler-Target-SQS

    Se for bem-sucedido, o comando cria a SQS fila da Amazon e retorna a seguinte saída:

    {
        "Stacks": [
            {
                "StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/Scheduler-Target-SQS/1d2af345-a121-12eb-abc1-012e34567890",
                "StackName": "Scheduler-Target-SQS",
                "CreationTime": "2022-03-17T16:21:29.442000+00:00",
                "RollbackConfiguration": {},
                "StackStatus": "CREATE_COMPLETE",
                "DisableRollback": false,
                "NotificationARNs": [],
                "Outputs": [
                    {
                        "OutputKey": "QueueName",
                        "OutputValue": "MyQueue",
                        "Description": "The name of the queue"
                    },
                    {
                        "OutputKey": "QueueARN",
                        "OutputValue": "arn:aws:sqs:us-west-2:123456789012:MyQueue",
                        "Description": "The ARN of the queue"
                    },
                    {
                        "OutputKey": "QueueURL",
                        "OutputValue": "https://sqs.us-west-2.amazonaws.com/123456789012/MyQueue",
                        "Description": "The URL of the queue"
                    }
                ],
                "Tags": [],
                "EnableTerminationProtection": false,
                "DriftInformation": {
                    "StackDriftStatus": "NOT_CHECKED"
                }
            }
        ]
    }

    Posteriormente neste guia, você usará o valor de QueueARN para configurar a fila como destino para o EventBridge Scheduler.

Próximas etapas

Depois de concluir a etapa de configuração, use o guia de introdução para criar seu primeiro EventBridge agendador do Scheduler e invocar um alvo.