管理 Amazon EventBridge 資源的存取權限 - Amazon EventBridge
資源和操作資源擁有權管理資源存取指定政策元素:動作、效果和主體在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Amazon EventBridge 資源的存取權限

您可以使用以身分識別為基礎或以 EventBridge 資源為基礎的原來管理對資 (例如規則或事件) 的存取

EventBridge 資源

EventBridge 資源和子資源具有與其相關聯的唯一 Amazon 資源名稱 (ARNs)。您可 EventBridge 以ARNs在中使用來建立事件模式。如需有關 Amazon 詳細資 AWS 訊ARNs,請參閱. ARN Amazon Web Services 一般參考

如需使用資源所 EventBridge 提供的作業清單,請參閱Amazon EventBridge 許可參考

注意

大多數服務都會 AWS 將冒號 (:) 或正斜線 (/) 視為中的相同字元ARNs。但是,在事件模式和規則中 EventBridge 使用完全匹配。建立事件模式時,請務必使用正確的ARN字元,以便它們符合您要比對的事件中的ARN語法。

下表顯示中的資源 EventBridge。

資源類型 ARN格式

存檔

arn:aws:events:region:account:archive/archive-name

重新播放

arn:aws:events:region:account:replay/replay-name

規則

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

事件匯流排

arn:aws:events:region:account:event-bus/event-bus-name

所有 EventBridge 資源

arn:aws:events:*

指定區域中指定帳號擁有的所有 EventBridge 資源

arn:aws:events:region:account:*

下列範例顯示如何指示特定規則 (myRule)在您的聲明中使用它ARN。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

若要透過使用星號 (*) 萬用字元指定所有屬於特定帳戶的規則,如下所示。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

若要指定所有資源,或特定API動作不支援ARNs,請在元素中使用星號 (*) 萬用字Resource元,如下所示。

"Resource": "*"

要指定多個資源或PutTargets在單個語句中,請ARNs用逗號分隔它們,如下所示。

"Resource": ["arn1", "arn2"]

資源擁有權

帳戶擁有帳戶內的資源,無論資源的建立者是誰。資源擁有者是主參與者實體的帳號、帳號 root 使用者、驗證建立資源要求的IAM使用者或角色。下列範例說明其如何運作:

  • 如果您使用帳戶的 root 使用者認證來建立規則,您的帳號就是 EventBridge 資源的擁有者。

  • 如果您在帳戶中建立使用者,並將建立 EventBridge 資源的權限授與該使用者,則該使用者可以建立 EventBridge 資源。不過,使用者所屬的帳戶擁有資 EventBridge 源。

  • 如果您在帳戶中建立具有建立 EventBridge資源權限的IAM角色,則任何可以擔任該角色的人都可以建立 EventBridge 資源。您的帳戶 (角色所屬) 擁有資 EventBridge 源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論的內容IAM中的使用 EventBridge。它不提供有關IAM服務的詳細信息。如需完整IAM文件,請參閱什麼是IAM?《IAM使用者指南》中。如需有關IAM策略語法和說明的資訊,請參閱《IAM使用指南》中的IAM政策參考資料。

附加至身分識別的策略稱為以IAM身分識別為基礎的策略 (IAM策略),而附加至資源的策略則稱為以資為基礎的策略。在中 EventBridge,您可以同時使用以身分識別為基礎的原則和以資源為基礎的IAM政策。

以身分識別為基礎的原則 (原則) IAM

您可以將原則附加至IAM身分識別。例如,您可以執行下列動作:

  • 將許可政策附加到帳戶中的使用者或群組 — 若要授與使用者在 Amazon CloudWatch 主控台中檢視規則的權限,請將許可政策附加到該使用者所屬的使用者或群組。

  • 權限原則附加至角色 (授與跨帳戶權限) — 您可以將以身分為基礎的權限原則附加至IAM角色,以授與跨帳戶權限。例如,帳戶 A 中的系統管理員可以建立角色,將跨帳戶權限授與另一個帳戶 B 或 AWS 服務,如下所示:

    1. 帳號管理員建立IAM角色,並將權限原則附加至授與帳號 A 中資源權限的角色。

    2. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

    3. 然後,帳戶 B 管理員可以委派權限以擔任角色給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。信任策略中的主體也可以是 AWS 服務主體,以授與 AWS 服務承擔該角色所需的權限。

    如需有關使用IAM委派權限的詳細資訊,請參閱《使用IAM者指南》中的〈存取管理

您可以建立特定IAM策略來限制帳戶中使用者可存取的呼叫和資源,然後將這些策略附加到使用者。如需如何建立IAM角色及探索範例IAM原則陳述式的詳細資訊 EventBridge,請參閱管理 Amazon EventBridge 資源的存取權限

以資源為基礎的政策 (IAM政策)

規則執行時 EventBridge,會叫用與規則關聯的所有目標,這表示叫用 AWS Lambda 函數、發佈到 Amazon SNS 主題,或將事件轉送至 Amazon Kinesis 串流。若要對您擁有的資源進行API呼叫, EventBridge 需要適當的權限。對於 Lambda、Amazon 和 Amazon SQS 資源SNS, EventBridge 使用以資源為基礎的政策。對於 Kinesis 串流, EventBridge 會使用IAM角色。

如需有關如何建立IAM角色和探索的範例以資源為基礎的政策陳述式的詳細資訊 EventBridge,請參閱使用 Amazon 資源型政策 EventBridge

指定政策元素:動作、效果和主體

針對每個 EventBridge 資源, EventBridge 定義一組API作業。若要授與這些作API業的權限,請 EventBridge 定義您可以在策略中指定的一組動作。某些API作業需要多個動作的權限才能執行API作業。如需有關資源和API作業的詳細資訊,請參閱EventBridge 資源Amazon EventBridge 許可參考

以下是基本的政策元素:

  • 資源 — 使用 Amazon 資源名稱 (ARN) 來識別政策適用的資源。如需詳細資訊,請參閱 EventBridge 資源

  • 動作:使用動作關鍵字來識別您要允許或拒絕的資源操作。例如,events:Describe 許可允許使用者執行 Describe 操作。

  • 效果:指定允許拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源的存取權,這樣做可以確保使用者無法存取資源,即使另有其他政策授與存取。

  • 主體 — 在以識別為基礎的原IAM則 (原則) 中,原則所附加的使用者是隱含的主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需有關IAM策略語法和說明的詳細資訊,請參閱《IAM使用指南》中的《IAMJSON策略參考

如需 EventBridge API動作及其套用至的資源的相關資訊,請參閱Amazon EventBridge 許可參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需有關以策略語言指定條件的詳細資訊,請參閱《IAM使用指南》中的「條」。

欲定義條件,您可以使用條件鍵。您可以視需要使用 AWS 條件鍵和 EventBridge 特定金鑰。若要取得完整的 AWS 金鑰清單,請參閱《IAM使用指南》中的條件可用鑰。如需 EventBridge 特定金鑰的完整清單,請參閱在 Amazon 使用IAM政策條件 EventBridge