Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen
Sie verwalten den Zugriff auf EventBridge-Ressourcen wie Regeln oder Ereignisse mithilfe identitätsbasierter oder ressourcenbasierter Richtlinien.
EventBridge-Ressourcen
EventBridge-Ressourcen und -Subressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. Sie verwenden ARNs in EventBridge, um Ereignismuster zu erstellen. Weitere Informationen über ARNs finden Sie unter Amazon-Ressourcennamen (ARN) und AWS-Service-Namespaces im Allgemeine Amazon Web Services-Referenz.
Eine Liste der Operationen, die EventBridge für die Arbeit mit Ressourcen bereitstellt, finden Sie unter Referenz zu Amazon-EventBridge-Berechtigungen.
Anmerkung
Die meisten AWS-Services behandeln einen Doppelpunkt (:
) oder einen Schrägstrich (/
) in ARNs als genau diese Zeichen. EventBridge verwendet jedoch eine genaue Übereinstimmung in Ereignismustern und Regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in dem Ereignis übereinstimmen.
Die folgende Tabelle zeigt die Ressourcen in EventBridge.
Ressourcentyp | ARN-Format |
---|---|
Archiv |
|
Erneut abspielen |
|
Regel |
|
Event Bus |
|
Alle EventBridge-Ressourcen |
|
Alle EventBridge-Ressourcen, die sich im Besitz des angegebenen Kontos in der angegebenen Region befinden |
|
Im folgenden Beispiel wird gezeigt, wie eine bestimmte Regel (myRule
) in der Anweisung mittels ihres ARN angegeben wird.
"Resource": "arn:aws:events:
us-east-1
:123456789012
:rule/myRule
"
Wenn Sie alle Regeln angeben möchten, die zu einem bestimmten Konto gehören, verwenden Sie das Sternchen (*) wie folgt.
"Resource": "arn:aws:events:
us-east-1
:123456789012
:rule/*
"
Wenn Sie alle Ressourcen angeben möchten oder eine bestimmte API-Aktion keine ARNs unterstützt, verwenden Sie das Sternchen (*) im Resource
-Element wie folgt.
"Resource": "
*
"
Wenn Sie mehrere Ressourcen oder PutTargets
in einer einzigen Anweisung angeben möchten, trennen Sie ihre ARNs mit Kommas wie folgt.
"Resource": ["arn1", "arn2"]
Ressourceneigentümerschaft
Unabhängig vom Ersteller ist ein Konto Eigentümer aller innerhalb des Kontos enthaltenen Ressourcen. Der Ressourceneigentümer ist das Konto der Prinzipal-Entität, d. h. der Root-Benutzer des Kontos, ein IAM-Benutzer oder eine IAM-Rolle, welche die Anforderung, die Ressource zu erstellen, authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn Sie die Root-Benutzer-Anmeldeinformationen für Ihr Konto verwenden, um eine Regel zu erstellen, ist Ihr Konto der Besitzer der EventBridge-Ressource.
-
Wenn Sie einen Benutzer in Ihrem Konto erstellen und diesem Berechtigungen zum Erstellen von EventBridge-Ressourcen erteilen, kann dieser Benutzer EventBridge-Ressourcen erstellen. Besitzer der EventBridge-Ressource ist jedoch das Konto, zu dem der Benutzer gehört.
-
Wenn Sie in Ihrem Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von EventBridge-Ressourcen erstellen, kann jeder Benutzer, der die Rolle übernehmen kann, EventBridge-Ressourcen erstellen. Besitzer der EventBridge-Ressourcen ist das Konto, zu dem die Rolle gehört.
Verwalten des Zugriffs auf Ressourcen
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
Anmerkung
Dieser Abschnitt behandelt die Verwendung von IAM um Zusammenhang mit EventBridge. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.
Richtlinien, die einer IAM-Identität zugeordnet sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, ressourcenbasierte Richtlinien genannt werden. In EventBridge können Sie sowohl identitätsbasierte (IAM-Richtlinien) als auch ressourcenbasierte Richtlinien verwenden.
Themen
Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
-
Einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zuweisen – Wenn Sie einem Benutzer die Berechtigung zum Anzeigen von Regeln in der Amazon-CloudWatch-Konsole erteilen möchten, weisen Sie dem Benutzer oder der Gruppe, zu der er gehört, eine Berechtigungsrichtlinie zu.
-
Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen Konto B oder einem AWS-Service kontoübergreifende Berechtigungen zu erteilen. Dazu geht er folgendermaßen vor:
-
Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die die Berechtigung für Ressourcen in Konto A erteilt.
-
Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
-
Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen oder auch Ressourcen erstellen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS-Service-Prinzipal sein. Somit können Sie auch einem AWS-Service die Berechtigung zur Übernahme der Rolle erteilen.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.
-
Sie können spezifische IAM-Richtlinien erstellen, um die Aufrufe und Ressourcen zu beschränken, auf die Benutzer in Ihrem Konto Zugriff haben, und dann diese Richtlinien den Benutzern zuweisen. Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele zu IAM-Richtlinienanweisungen für EventBridge finden Sie unter Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen.
Ressourcenbasierte Richtlinien (IAM-Richtlinien)
Wenn eine Regel in EventBridge ausgeführt wird, werden alle mit der Regel verknüpften Ziele aufgerufen. Dies bedeutet das Aufrufen der AWS Lambda-Funktionen, das Veröffentlichen in den Amazon-SNS-Themen oder das Weiterleiten des Ereignisses an die Amazon-Kinesis-Streams. Um API-Aufrufe für die Ressourcen auszuführen, die Sie besitzen, muss EventBridge über die entsprechende Berechtigung verfügen. Für Lambda-, Amazon-SNS- und Amazon-SQS-Ressourcen verwendet EventBridge ressourcenbasierte Richtlinien. Für Kinesis-Streams verwendet EventBridge IAM-Rollen.
Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele zu ressourcenbasierten Richtlinienanweisungen für EventBridge finden Sie unter Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge.
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jede EventBridge-Ressource definiert EventBridge eine Reihe von API-Operationen. Zur Erteilung von Berechtigungen für diese API-Operationen definiert EventBridge eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter EventBridge-Ressourcen und Referenz zu Amazon-EventBridge-Berechtigungen.
Grundlegende Richtlinienelemente:
-
Ressource – Verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter EventBridge-Ressourcen.
-
Aktion – Mit Schlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die
events:Describe
-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen derDescribe
-Operation. -
Effekt – Geben Sie entweder Zulassen oder Verweigern an. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.
Informationen zu den EventBridge-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter Referenz zu Amazon-EventBridge-Berechtigungen.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.
Zum Festlegen von Bedingungen verwenden Sie Bedingungsschlüssel. Es gibt AWS-Bedingungsschlüssel und EventBridge-spezifische Schlüssel, die Sie gegebenenfalls verwenden können. Sie finden eine vollständige Liste der AWS-Schlüssel unter Available Keys for Conditions (Verfügbare Schlüssel für Bedingungen) im IAM User Guide (IAM-Benutzerhandbuch). Eine vollständige Liste der EventBridge-spezifischen Schlüssel finden Sie unter Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle.