在 Amazon 中的 AWS 帳戶之間傳送和接收事件 EventBridge - Amazon EventBridge
授予許可以允許來自其他 AWS 帳戶的事件AWS 帳戶之間事件的規則建立在 AWS 帳戶之間傳送事件的規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon 中的 AWS 帳戶之間傳送和接收事件 EventBridge

您可以設定 EventBridge ,在 AWS 帳戶中的事件匯流排之間傳送和接收事件。當您 EventBridge 將 設定為在帳戶之間傳送或接收事件時,您可以指定哪些 AWS 帳戶可以傳送事件至帳戶中的事件匯流排或從帳戶中的事件匯流排接收事件。您也可以允許或拒絕來自與事件匯流排相關聯之特定規則的事件,或來自特定來源的事件。如需詳細資訊,請參閱使用 Amazon EventBridge 資源政策簡化跨帳戶存取

注意

如果您使用 AWS Organizations,您可以指定組織,並授予該組織中所有帳戶的存取權。此外,傳送事件匯流排在傳送事件至另一個帳戶時,必須IAM連接角色。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的什麼是 AWS Organizations

注意

如果您使用「事件管理員」回應計劃作為目標,預設會提供與您帳戶共用的所有回應計劃。

只要目的地區域是受支援的跨區域目的地區域,您就可以在所有區域中相同區域中 AWS 的帳戶之間,以及不同區域中的帳戶之間傳送和接收事件匯流排。

設定 EventBridge 將事件傳送至不同帳戶中的事件匯流排或從不同帳戶中接收事件的步驟包括:

  • 接收者帳戶上,編輯事件匯流排上的許可,以允許指定 AWS 帳戶、組織或所有 AWS 帳戶將事件傳送至接收者帳戶。

  • 寄件者帳戶上,設定一或多個將接收者帳戶的事件匯流排作為目標的規則。

    如果寄件者帳戶繼承從 AWS 組織傳送事件的許可,寄件者帳戶也必須具有具有政策IAM的角色,以允許其將事件傳送至接收者帳戶。如果您使用 AWS Management Console 來建立以接收者帳戶中的事件匯流排為目標的規則,則會自動建立角色。如果您使用 AWS CLI,則必須手動建立角色。

  • 接收者帳戶上,設定一個或多個符合來自寄件者帳戶事件的規則。

從一個帳戶傳送到另一個帳戶的事件,會做為自訂事件向傳送帳戶收費。接收帳戶不收費。如需詳細資訊,請參閱 Amazon EventBridge Pricing

接收者帳戶可以設定一個規則,將從寄件者帳戶收到的事件發送到第三個帳戶,但系統不會將這些事件傳送到第三個帳戶。

如果您在同一帳戶中有三個事件匯流排,並在第一個事件匯流排上設定規則,以將事件從第二個事件匯流排轉送至第三個事件匯流排,則這些事件不會傳送至第三個事件匯流排。

下列影片涵蓋帳戶之間的路由事件:

授予許可以允許來自其他 AWS 帳戶的事件

若要從其他帳戶或組織接受事件,您必須先在帳戶的預設事件匯流排上編輯許可。預設事件匯流排接受來自 AWS 服務、其他授權 AWS 帳戶和PutEvents呼叫的事件。使用附加至事件匯流排的資源型原則授與或拒絕事件匯流排的許可。在政策中,您可以使用 AWS 帳戶 ID 將許可授予其他帳戶,或使用 AWS 組織 ID 授予組織。若要進一步了解事件匯流排許可 (包括範例政策) 的更多資訊,請參閱 Amazon 事件總線的許可 EventBridge

注意

EventBridge 現在需要所有新的跨帳戶事件匯流排目標才能新增IAM角色。這僅適用於 2023 年 3 月 2 日之後建立的事件匯流排目標。在該日期之前沒有IAM角色建立的應用程式不受影響。不過,我們建議您新增IAM角色,以授予使用者對另一個帳戶中資源的存取權,因為這可確保使用 Service Control 政策 (SCPs) 來套用組織界限,以決定誰可以傳送和接收來自您組織中帳戶的事件。

重要

如果您選擇從所有 AWS 帳戶接收事件,請小心建立僅符合要從其他帳戶接收之事件的規則。若要建立更安全的規則,請確定每個規則的事件模式包含一個Account欄位,其中包含要從中接收事件IDs的一或多個帳戶。具有包含 Account (帳戶) 欄位的事件模式的規則,不符合從 Account 欄位中未列出帳戶所傳送的事件。如需詳細資訊,請參閱Amazon 中的事件 EventBridge

AWS 帳戶之間事件的規則

如果您的帳戶設定為接收來自其他 AWS 帳戶中事件匯流排的事件,您可以撰寫符合這些事件的規則。設定規則的事件模式,以符合您從其他帳戶所接收的事件。

除非您在規則的事件模式中指定 account,否則任何您帳戶中符合從其他帳戶内事件匯流排接收事件的新規則或現有規則,都將會根據這些事件而觸發。如果您正從其他帳戶接收事件,且您需要規則僅在規則從您自己的帳戶生成事件模式時觸發該事件模式,您必須新增 account 並指定自己的帳戶 ID 到規則的事件模式。

如果您設定 AWS 帳戶以接受所有 AWS 帳戶中來自事件匯流排的事件,強烈建議您account新增至帳戶中的每個 EventBridge 規則。這可防止帳戶中的規則在來自未知 AWS 帳戶的事件上觸發。當您在規則中指定 account 欄位時,您可以在 欄位中指定IDs一個以上的 AWS 帳戶。

若要對來自您授予許可 AWS 之帳戶中任何事件匯流排的相符事件具有規則觸發,請勿在規則的 account 欄位中指定 *。這麼做就不會有任何事件符合,因為 * 絕不會出現在事件的 account 欄位中。反而會省略規則中的 account 欄位。

建立在 AWS 帳戶之間傳送事件的規則

將另一個帳戶中的事件匯流排指定為目標是建立規則的一部分。

建立使用主控台將事件傳送至不同 AWS 帳戶的規則

  1. 然後依照 創建對 Amazon 事件做出反應的規則 EventBridge 程序中的步驟進行操作。

  2. 選取目標 步驟中,當系統提示您選擇目標類型時:

    1. 選取EventBridge 事件匯流排

    2. 選取不同帳戶或地區中的事件匯流排

    3. 對於目標為 的事件匯流排,輸入您要使用的事件匯流排ARN的 。

  3. 依照下列程序步驟,完成建立規則的操作。