本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在排程器中使用身分識別型原則 EventBridge
根據預設,使用者和角色沒有建立或修改 EventBridge 排程器資源的權限。他們也無法執行任務使用 AWS Management Console, AWS Command Line Interface (AWS CLI),或 AWS API。若要授與使用者對所需資源執行動作的權限,IAM管理員可以建立IAM策略。然後,系統管理員可以將IAM原則新增至角色,使用者可以擔任這些角色。
若要瞭解如何使用這些範例原則文件來建立以IAM身分識別為基礎的JSON策略,請參閱使用指南中的IAM建立IAM策略。
有關 EventBridge 排程器定義的動作和資源類型的詳細資訊,包括每種資源類型的格式,請參閱服務授權參考中的 Amazon S EventBridge cheduler 的動作、資源和條件金鑰。ARNs
政策最佳實務
以身分識別為基礎的原則會決定某人是否可以在您的帳戶中建立、存取或刪除 EventBridge Scheduler 資源。這些動作可能會為您帶來成本 AWS 帳戶。 建立或編輯以身分識別為基礎的原則時,請遵循下列準則和建議:
-
開始使用 AWS 受管原則並朝著最低權限權限移轉 — 若要開始授與使用者和工作負載的權限,請使用 AWS 授與許多常見使用案例權限的受管理策略。他們是可用的 AWS 帳戶。 我們建議您透過定義來進一步減少使用權限 AWS 針對您的使用案例特定的客戶管理政策。如需詳細資訊,請參閱 AWS 受管理的策略或 AWS 《使用者指南》中針對工作職能的IAM管理策略。
-
套用最低權限權限 — 當您使用原則設定權限時,IAM只授與執行工作所需的權限。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需有關使用套用權限IAM的詳細資訊,請參閱《使用指南》IAM中的IAM《策略與權限》。
-
使用IAM策略中的條件進一步限制存取 — 您可以在策略中新增條件,以限制對動作和資源的存取。例如,您可以撰寫政策條件,以指定必須使用傳送所有要求SSL。如果服務動作是透過特定使用條件,您也可以使用條件來授與對服務動作的存取權 AWS 服務,例如, AWS CloudFormation。 如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件。
-
使用 IAM Access Analyzer 驗證您的原IAM則,以確保安全和功能性的權限 — IAM Access Analyzer 會驗證新的和現有的原則,以便原則遵循IAM原則語言 (JSON) 和IAM最佳做法。IAMAccess Analyzer 提供超過 100 項原則檢查和可行的建議,協助您撰寫安全且功能正常的原則。如需詳細資訊,請參閱IAM使IAM用指南中的存取分析器原則驗證。
-
需要多重要素驗證 (MFA) — 如果您的案例需要使IAM用者或 root 使用者 AWS 帳戶,請開啟MFA以獲得額外的安全性。若要在呼叫API作業MFA時需要,請在原則中新增MFA條件。如需詳細資訊,請參閱《IAM使用指南》中的 < 設定MFA受保護的API存取 >。
如需有關中最佳作法的詳細資訊IAM,請參閱《IAM使用指南》IAM中的「安全性最佳作法」。
EventBridge 排程器權限
若要讓IAM主體 (使用者、群組或角色) 在 S EventBridge cheduler 中建立排程,並透過主控台或存取 S EventBridge cheduler 資源API,主體必須將一組權限新增至其權限原則。您可以根據主參與者的工作功能來設定這些權限。例如,只使用 EventBridge Scheduler 主控台檢視現有排程清單的使用者或角色,不需要具備呼叫CreateScheduleAPI作業所需的權限。我們建議您量身定制基於身份的權限,以僅提供最低權限的存取。
下列清單顯示 EventBridge 排程器的資源及其對應的支援動作。
-
排程
-
scheduler:ListSchedules -
scheduler:GetSchedule -
scheduler:CreateSchedule -
scheduler:UpdateSchedule -
scheduler:DeleteSchedule
-
-
排程群組
-
scheduler:ListScheduleGroups -
scheduler:GetScheduleGroup -
scheduler:CreateScheduleGroup -
scheduler:DeleteScheduleGroup -
scheduler:ListTagsForResource -
scheduler:TagResource -
scheduler:UntagResource
-
您可以使用 EventBridge 排程器權限來建立自己的客戶管理政策,以搭配 EventBridge Scheduler 使用。您也可以使用 AWS 以下章節中所述的受管理策略可授予常見使用案例的必要權限,而無需管理您自己的策略。
AWS EventBridge 排程器的受管理原則
AWS 透過提供獨立IAM原則來解決許多常見使用案例 AWS 建立及管理。受管或預定義政策會針對常用案例授予必要的許可,因此您無須調查需要哪些許可。如需詳細資訊,請參閱 AWS《IAM使用者指南》中的受管理策略。如下所示 AWS 您可以附加至帳戶中使用者的受管理政策專屬於 EventBridge Scheduler:
-
AmazonEventBridgeSchedulerFullAccess— 使用主控台和授與 EventBridge 排程器的完整存取權API。
-
AmazonEventBridgeSchedulerReadOnlyAccess— 授與 EventBridge 排程器的唯讀存取權。
AmazonEventBridgeSchedulerFullAccess
AmazonEventBridgeSchedulerFullAccess受管理的原則會授與對排程和 EventBridge 排程群組使用所有排程器動作的權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AmazonEventBridgeSchedulerReadOnlyAccess
AmazonEventBridgeSchedulerReadOnlyAccess受管理的原則會授與唯讀權限,以檢視排程和排程群組的詳細資料。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListTagsForResource" ], "Resource": "*" } ] }
EventBridge 排程器的客戶管理政策
使用下列範例為 EventBridge Scheduler 建立您自己的客戶管理政策。客戶管理的政策可讓您根據主參與者的工作職能,僅授與應用程式和使用者所需的動作和資源的權限。
範例:CreateSchedule
建立新 EventBridge 排程時,您可以選擇是否要使用 AWS 擁有的金鑰,或客戶管理的金鑰。
下列原則可讓主體建立排程,並使用 AWS 擁有的金鑰。 用一個 AWS 擁有的金鑰, AWS 管理資源 AWS Key Management Service (AWS KMS)為您服務,因此您不需要其他權限即可與之交互 AWS KMS.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
使用下列原則可允許主參與者建立排程並使用 AWS KMS 用於加密的客戶管理金鑰。若要使用客戶管理的金鑰,主體必須具有存取 AWS KMS 您帳戶中的資源。此原則會授與單一指定KMS金鑰的存取權,以用來加密 EventBridge 排程器上的資料。或者,您可以使用萬用字元 (*) 字元來授與帳戶中所有金鑰的存取權,或是與指定名稱模式相符的子集。
{ "Version": "2012-10-17" "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
範例:GetSchedule
使用下列原則可允許主參與者取得排程的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:GetSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] } ] }
範例:UpdateSchedule
使用下列原則可允許主參與者呼叫scheduler:UpdateSchedule動作來更新排程。類似於CreateSchedule,該策略取決於時間表是否使用 AWS KMS AWS 擁有的金鑰 或客戶管理的加密金鑰。若為設定的排程 AWS 擁有的金鑰,請使用下列原則:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
對於使用客戶管理金鑰設定的排程,請使用下列原則。此原則包含允許主參與者存取的其他權限 AWS KMS 您帳戶中的資源:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name}, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
範例:DeleteScheduleGroup
使用下列原則可允許主參與者刪除排程群組。刪除群組時,也會刪除與該群組相關聯的排程。刪除群組的主參與者必須擁有刪除與該群組相關聯之排程的權限。此原則會授與對指定排程群組以及群組中所有排程呼叫scheduler:DeleteScheduleGroup動作的主要權限:
注意
EventBridge 排程器不支援指定個別排程的資源層級權限。例如,以下聲明無效,不應包含在您的政策中:
"Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/
my-group/my-schedule-name"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:DeleteSchedule", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/*" }, { "Effect": "Allow", "Action": "scheduler:DeleteScheduleGroup", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AWS 受管理策略更新
| 變更 | 描述 | 日期 |
|---|---|---|
|
EventBridge Scheduler 新增了對新的受管理政策的支援,可授與使用者對所有資源 (包括排程和排程群組) 的完整存取權。 |
2022 年 11 月 10 日 |
|
|
EventBridge Scheduler 新增了對新的受管理策略的支援,該策略授與使用者對所有資源 (包括排程和排程群組) 的唯讀存取權。 |
2022 年 11 月 10 日 |
|
|
EventBridge 排程器開始追蹤變更 |
EventBridge 排程器開始追蹤其變更 AWS 受管理的策略。 |
2022 年 11 月 10 日 |
