本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在调度程序中使用基于身份的策略 EventBridge
默认情况下,用户和角色无权创建或修改 EventBridge 日程安排资源。他们也无法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或执行任务 AWS API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入角色。
要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略。
有关 EventBridge 计划程序定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》中的 Amazon S EventBridge cheduler 的操作、资源和条件密钥。ARNs
策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 EventBridge 日程安排资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
-
开始使用 AWS 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的AWS 托管策略。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM用户指南》中的AWS 托AWS 管策略或工作职能托管策略。
-
应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅IAM用户指南IAM中的策略和权限。
-
使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 AWS CloudFormation。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件。
-
使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的 IAMAccess Analyzer 策略验证。
-
需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》中的配置MFA受保护的API访问权限。
有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践。
EventBridge 调度器权限
要使IAM委托人(用户、组或角色)在 EventBridge 调度器中创建计划并通过控制台或访问 EventBridge 调度程序资源API,委托人必须在其权限策略中添加一组权限。您可以根据主体的工作职能配置这些权限。例如,仅使用 EventBridge 调度程序控制台查看现有计划列表的用户或角色无需拥有调用该CreateScheduleAPI操作所需的权限。我们建议您调整基于身份的权限,以便仅提供最低访问权限。
以下列表显示了 EventBridge 调度程序的资源及其相应的支持的操作。
-
计划
-
scheduler:ListSchedules -
scheduler:GetSchedule -
scheduler:CreateSchedule -
scheduler:UpdateSchedule -
scheduler:DeleteSchedule
-
-
计划组
-
scheduler:ListScheduleGroups -
scheduler:GetScheduleGroup -
scheduler:CreateScheduleGroup -
scheduler:DeleteScheduleGroup -
scheduler:ListTagsForResource -
scheduler:TagResource -
scheduler:UntagResource
-
您可以使用 EventBridge 计划程序权限来创建自己的客户托管策略,以便与 EventBridge 日程安排器一起使用。您还可以使用下一节中描述的 AWS 托管策略为常见用例授予必要的权限,而无需管理自己的策略。
AWS EventBridge 日程安排程序的托管策略
AWS 通过提供 AWS 创建和管理的独立IAM策略来解决许多常见用例。托管 策略也称为预定义策略,可针对常见使用场景授予必要的权限,让您不必调查需要哪些权限。有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略。您可以将以下 AWS 托管策略附加到账户中的用户,这些托管策略特定于 S EventBridge cheduler:
-
AmazonEventBridgeSchedulerFullAccess— 使用控制台和,授予对 EventBridge 调度程序的完全访问权限。API
-
AmazonEventBridgeSchedulerReadOnlyAccess— 授予对 EventBridge 日程安排器的只读访问权限。
AmazonEventBridgeSchedulerFullAccess
AmazonEventBridgeSchedulerFullAccess托管策略授予对计划和 EventBridge 计划组使用所有日程安排程序操作的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AmazonEventBridgeSchedulerReadOnlyAccess
AmazonEventBridgeSchedulerReadOnlyAccess 托管策略授予只读权限,以查看有关您的计划和计划组的详细信息。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListTagsForResource" ], "Resource": "*" } ] }
客户托管的 EventBridge 日程安排器策略
使用以下示例为 EventBridge 计划程序创建您自己的客户托管策略。客户管理型策略允许您根据主体的工作职能,仅授予团队中应用程序和用户所需的操作和资源的权限。
例如:CreateSchedule
创建新计划时,您可以选择是使用客户管理的密钥还是使用客户管理的密钥对 EventBridge AWS 拥有的密钥计划程序上的数据进行加密。
以下策略允许主体使用 AWS 拥有的密钥创建计划并应用加密。使用时 AWS 拥有的密钥, AWS 可以为您管理 AWS Key Management Service (AWS KMS) 上的资源,因此您无需其他权限即可与之交互 AWS KMS。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
使用以下策略允许委托人创建计划并使用 AWS KMS 客户托管密钥进行加密。要使用客户托管密钥,委托人必须有权访问您账户中的 AWS KMS 资源。此策略授予对单个指定KMS密钥的访问权限,该密钥用于加密 EventBridge 调度器上的数据。或者,您可以使用通配符 (*) 来授予对账户中所有密钥或与给定名称模式匹配的子集的访问权限。
{ "Version": "2012-10-17" "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
例如:GetSchedule
使用以下策略允许主体获取有关计划的信息。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:GetSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] } ] }
例如:UpdateSchedule
使用以下策略允许主体通过调用 scheduler:UpdateSchedule 操作来更新计划。与此类似CreateSchedule,该策略取决于计划是使用客户托管密钥还是客户托管密钥进行加密。 AWS KMS AWS 拥有的密钥 对于配置了的计划 AWS 拥有的密钥,请使用以下策略:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
对于配置了客户托管的密钥的计划,请使用以下策略。此政策包括允许委托人访问您账户中的 AWS KMS 资源的额外权限:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name}, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
例如:DeleteScheduleGroup
使用以下策略允许主体删除计划组。删除组时,还会删除与该组相关联的计划。删除该组的主体还必须拥有删除与该组关联的计划的权限。此策略授予主体对指定的计划组以及该组中的所有计划调用 scheduler:DeleteScheduleGroup 操作的权限:
注意
EventBridge 计划程序不支持为单个计划指定资源级别权限。例如,以下语句无效,不应包含在您的策略中:
"Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/
my-group/my-schedule-name"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:DeleteSchedule", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/*" }, { "Effect": "Allow", "Action": "scheduler:DeleteScheduleGroup", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AWS 托管策略更新
| 更改 | 描述 | 日期 |
|---|---|---|
|
EventBridge Scheduler 增加了对新托管策略的支持,该策略允许用户完全访问所有资源,包括计划和计划组。 |
2022 年 11 月 10 日 |
|
|
EventBridge Scheduler 增加了对新托管策略的支持,该策略向用户授予对所有资源(包括计划和计划组)的只读访问权限。 |
2022 年 11 月 10 日 |
|
|
EventBridge 日程安排器开始跟踪更改 |
EventBridge 计划程序开始跟踪其 AWS 托管策略的更改。 |
2022 年 11 月 10 日 |
