IAM-Rollen für das Senden von Ereignissen an Ziele in Amazon EventBridge - Amazon EventBridge
Berechtigungen für den Zugriff auf ZieleBeispiel für eine vom Kunden verwaltete Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rollen für das Senden von Ereignissen an Ziele in Amazon EventBridge

Um Ereignisse an Ziele weiterzuleiten, EventBridge ist eine IAM-Rolle erforderlich.

Um eine IAM-Rolle für das Senden von Ereignissen zu erstellen EventBridge

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Um eine IAM-Rolle zu erstellen, folgen Sie den Schritten unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im IAM-Benutzerhandbuch. Beachten Sie Folgendes, während Sie die Schritte ausführen:

    • Geben Sie unter Rollenname einen Namen ein, der innerhalb Ihres Kontos eindeutig ist.

    • Wählen Sie unter Rollentyp auswählen die Option AWS Service Roles und dann Amazon aus EventBridge. Dadurch werden EventBridge Berechtigungen zur Übernahme der Rolle erteilt.

    • Wählen Sie unter Richtlinie anhängen die Option aus AmazonEventBridgeFullAccess.

Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für EventBridge Aktionen und Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen. Weitere Informationen zu IAM-Richtlinien finden Sie unter Übersicht über IAM-Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen zum Verwalten und Erstellen von benutzerdefinierten IAM-Richtlinien finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch.

Berechtigungen, die für den Zugriff EventBridge auf Ziele mithilfe von IAM-Rollen erforderlich sind

EventBridge Ziele benötigen in der Regel IAM-Rollen, die die Berechtigung EventBridge zum Aufrufen des Ziels gewähren. Im Folgenden finden Sie einige Beispiele für verschiedene AWS Dienste und Ziele. Andere Benutzer können die EventBridge Konsole verwenden, um eine Regel und eine neue Rolle zu erstellen, die dann mit einer Richtlinie mit vorkonfigurierten Berechtigungen für einen bestimmten Gültigkeitsbereich erstellt wird.

Amazon SQS, Amazon SNS, Lambda, CloudWatch Logs und EventBridge Busziele verwenden keine Rollen, und Berechtigungen dafür EventBridge müssen über eine Ressourcenrichtlinie erteilt werden. API-Gateway-Ziele können entweder Ressourcenrichtlinien oder IAM-Rollen verwenden.

API-Ziele

Wenn das Ziel ein API-Ziel ist, muss die von Ihnen angegebene Rolle eine Richtlinie mit der folgenden Aussage enthalten:

  • Wirkung: Allow

  • Aktion: events:InvokeApiDestination

  • Ressource: arn:aws:events:*:*:api-destination/*

Kinesis-Streams

Wenn das Ziel ein Kinesis-Stream ist, muss die Rolle, die zum Senden von Ereignisdaten an dieses Ziel verwendet wird, eine Richtlinie mit der folgenden Aussage enthalten:

  • Wirkung: Allow

  • Aktion: kinesis:PutRecord

  • Ressource: *

System-Manager-Befehle ausführen

Wenn das Ziel Systems Manager run command ist und Sie einen oder mehrere InstanceIds Werte für den Befehl angeben, muss die von Ihnen angegebene Rolle eine Richtlinie mit der folgenden Anweisung enthalten:

  • Wirkung: Allow

  • Aktion: ssm:SendCommand

  • Ressourcen: arn:aws:ec2:us-east-1:accountId:instance/instanceIds, arn:aws:ssm:us-east-1:*:document/documentName

Wenn das Ziel Systems Manager run command ist und Sie ein oder mehrere Tags für den Befehl angeben, muss die von Ihnen angegebene Rolle eine Richtlinie mit den folgenden beiden Aktionen enthalten:

  • Wirkung: Allow

  • Aktion: ssm:SendCommand

  • Ressourcen: arn:aws:ec2::accountId:instance/*

  • Zustand:

    "StringEquals": {
  "ec2:ResourceTag/*": [
    "[[tagValues]]"
  ]
}

And:

  • Wirkung: Allow

  • Aktion: ssm:SendCommand

  • Ressourcen: arn:aws:ssm:us-east-1:*:document/documentName

Step Functions Zustandsautomaten

Wenn es sich bei dem Ziel um eine AWS Step Functions Zustandsmaschine handelt, muss die von Ihnen angegebene Rolle eine Richtlinie mit den folgenden Eigenschaften enthalten:

  • Wirkung: Allow

  • Aktion: states:StartExecution

  • Ressource: arn:aws:states:*:*:stateMachine:*

Amazon-ECS-Aufgaben

Wenn das Ziel eine Amazon-ECS-Aufgabe ist, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:RunTask"
            ],
            "Resource": [
                "arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
            ],
            "Condition": {
                "ArnLike": {
                    "ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "ecs-tasks.amazonaws.com"
                }
            }
        }
    ]
}

Die folgende Richtlinie ermöglicht es integrierten Zielen EventBridge , EC2 Amazon-Aktionen in Ihrem Namen durchzuführen. Sie müssen den verwenden AWS Management Console , um Regeln mit integrierten Zielen zu erstellen.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TargetInvocationAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:RebootInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:CreateSnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinie ermöglicht EventBridge die Weiterleitung von Ereignissen an die Kinesis-Streams in Ihrem Konto.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KinesisAccess",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord"
            ],
            "Resource": "*"
        }
    ]
}

Beispiel für eine vom Kunden verwaltete Richtlinie: Verwenden der Markierung mit Tags zum Steuern des Zugriffs auf Regeln

Das folgende Beispiel zeigt eine Benutzerrichtlinie, die Berechtigungen für EventBridge Aktionen gewährt. Diese Richtlinie funktioniert, wenn Sie die EventBridge API, AWS SDKs, oder die verwenden AWS CLI.

Sie können Benutzern Zugriff auf bestimmte EventBridge Regeln gewähren und sie gleichzeitig daran hindern, auf andere Regeln zuzugreifen. Hierzu markieren Sie beide Regelsätze mit Tags und verwenden dann IAM-Richtlinien, die auf diese Tags verweisen. Weitere Informationen zum Markieren von EventBridge Ressourcen finden Sie unterRessourcen in Amazon taggen EventBridge.

Sie können einem Benutzer eine IAM-Richtlinie zuweisen, die ausschließlich den Zugriff auf Regeln mit einem bestimmten Tag zulässt. Sie wählen aus, auf welche Regeln Sie Zugriff gewähren möchten, indem Sie sie mit diesem bestimmten Tag markieren. Beispielweise gewährt die folgende Richtlinie einem Benutzer nur den Zugriff auf Regeln mit dem Wert Prod für den Tag-Schlüssel Stack.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "events:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Stack": "Prod"
                }
            }
        }
    ]
}

Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter Steuern des Zugriffs mithilfe von Richtlinien im IAM-Benutzerhandbuch.