Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen - Amazon EventBridge
Ressourcen und OperationenRessourceneigentümerschaftVerwalten des Zugriffs auf RessourcenFestlegen der Richtlinienelemente: Aktionen, Effekte und PrinzipaleAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen

Sie verwalten den Zugriff auf EventBridge-Ressourcen wie Regeln oder Ereignisse mithilfe identitätsbasierter oder ressourcenbasierter Richtlinien.

EventBridge-Ressourcen

EventBridge-Ressourcen und -Subressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. Sie verwenden ARNs in EventBridge, um Ereignismuster zu erstellen. Weitere Informationen über ARNs finden Sie unter Amazon-Ressourcennamen (ARN) und AWS-Service-Namespaces im Allgemeine Amazon Web Services-Referenz.

Eine Liste der Operationen, die EventBridge für die Arbeit mit Ressourcen bereitstellt, finden Sie unter Referenz zu Amazon-EventBridge-Berechtigungen.

Anmerkung

Die meisten AWS-Services behandeln einen Doppelpunkt (:) oder einen Schrägstrich (/) in ARNs als genau diese Zeichen. EventBridge verwendet jedoch eine genaue Übereinstimmung in Ereignismustern und Regeln. Verwenden Sie also die richtigen ARN-Zeichen zum Erstellen von Ereignismustern, sodass sie mit der ARN-Syntax in dem Ereignis übereinstimmen.

Die folgende Tabelle zeigt die Ressourcen in EventBridge.

Ressourcentyp ARN-Format

Archiv

arn:aws:events:region:account:archive/archive-name

Erneut abspielen

arn:aws:events:region:account:replay/replay-name

Regel

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Event Bus

arn:aws:events:region:account:event-bus/event-bus-name

Alle EventBridge-Ressourcen

arn:aws:events:*

Alle EventBridge-Ressourcen, die sich im Besitz des angegebenen Kontos in der angegebenen Region befinden

arn:aws:events:region:account:*

Im folgenden Beispiel wird gezeigt, wie eine bestimmte Regel (myRule) in der Anweisung mittels ihres ARN angegeben wird.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Wenn Sie alle Regeln angeben möchten, die zu einem bestimmten Konto gehören, verwenden Sie das Sternchen (*) wie folgt.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Wenn Sie alle Ressourcen angeben möchten oder eine bestimmte API-Aktion keine ARNs unterstützt, verwenden Sie das Sternchen (*) im Resource-Element wie folgt.

"Resource": "*"

Wenn Sie mehrere Ressourcen oder PutTargets in einer einzigen Anweisung angeben möchten, trennen Sie ihre ARNs mit Kommas wie folgt.

"Resource": ["arn1", "arn2"]

Ressourceneigentümerschaft

Unabhängig vom Ersteller ist ein Konto Eigentümer aller innerhalb des Kontos enthaltenen Ressourcen. Der Ressourceneigentümer ist das Konto der Prinzipal-Entität, d. h. der Root-Benutzer des Kontos, ein IAM-Benutzer oder eine IAM-Rolle, welche die Anforderung, die Ressource zu erstellen, authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Benutzer-Anmeldeinformationen für Ihr Konto verwenden, um eine Regel zu erstellen, ist Ihr Konto der Besitzer der EventBridge-Ressource.

  • Wenn Sie einen Benutzer in Ihrem Konto erstellen und diesem Berechtigungen zum Erstellen von EventBridge-Ressourcen erteilen, kann dieser Benutzer EventBridge-Ressourcen erstellen. Besitzer der EventBridge-Ressource ist jedoch das Konto, zu dem der Benutzer gehört.

  • Wenn Sie in Ihrem Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von EventBridge-Ressourcen erstellen, kann jeder Benutzer, der die Rolle übernehmen kann, EventBridge-Ressourcen erstellen. Besitzer der EventBridge-Ressourcen ist das Konto, zu dem die Rolle gehört.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

Dieser Abschnitt behandelt die Verwendung von IAM um Zusammenhang mit EventBridge. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die einer IAM-Identität zugeordnet sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, ressourcenbasierte Richtlinien genannt werden. In EventBridge können Sie sowohl identitätsbasierte (IAM-Richtlinien) als auch ressourcenbasierte Richtlinien verwenden.

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zuweisen – Wenn Sie einem Benutzer die Berechtigung zum Anzeigen von Regeln in der Amazon-CloudWatch-Konsole erteilen möchten, weisen Sie dem Benutzer oder der Gruppe, zu der er gehört, eine Berechtigungsrichtlinie zu.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen Konto B oder einem AWS-Service kontoübergreifende Berechtigungen zu erteilen. Dazu geht er folgendermaßen vor:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die die Berechtigung für Ressourcen in Konto A erteilt.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Daraufhin können die Benutzer in Konto B auf Ressourcen von Konto A zugreifen oder auch Ressourcen erstellen. Der Prinzipal in der Vertrauensrichtlinie kann auch ein AWS-Service-Prinzipal sein. Somit können Sie auch einem AWS-Service die Berechtigung zur Übernahme der Rolle erteilen.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Sie können spezifische IAM-Richtlinien erstellen, um die Aufrufe und Ressourcen zu beschränken, auf die Benutzer in Ihrem Konto Zugriff haben, und dann diese Richtlinien den Benutzern zuweisen. Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele zu IAM-Richtlinienanweisungen für EventBridge finden Sie unter Verwalten der Zugriffsberechtigungen für Ihre Amazon-EventBridge-Ressourcen.

Ressourcenbasierte Richtlinien (IAM-Richtlinien)

Wenn eine Regel in EventBridge ausgeführt wird, werden alle mit der Regel verknüpften Ziele aufgerufen. Dies bedeutet das Aufrufen der AWS Lambda-Funktionen, das Veröffentlichen in den Amazon-SNS-Themen oder das Weiterleiten des Ereignisses an die Amazon-Kinesis-Streams. Um API-Aufrufe für die Ressourcen auszuführen, die Sie besitzen, muss EventBridge über die entsprechende Berechtigung verfügen. Für Lambda-, Amazon-SNS- und Amazon-SQS-Ressourcen verwendet EventBridge ressourcenbasierte Richtlinien. Für Kinesis-Streams verwendet EventBridge IAM-Rollen.

Weitere Informationen zum Erstellen von IAM-Rollen und Beispiele zu ressourcenbasierten Richtlinienanweisungen für EventBridge finden Sie unter Verwendung ressourcenbasierter Richtlinien für Amazon EventBridge.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Für jede EventBridge-Ressource definiert EventBridge eine Reihe von API-Operationen. Zur Erteilung von Berechtigungen für diese API-Operationen definiert EventBridge eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Einige API-Operationen erfordern Berechtigungen für mehr als eine Aktion, um die API-Operation auszuführen. Weitere Informationen zu Ressourcen und API-Operationen finden Sie unter EventBridge-Ressourcen und Referenz zu Amazon-EventBridge-Berechtigungen.

Grundlegende Richtlinienelemente:

  • Ressource – Verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter EventBridge-Ressourcen.

  • Aktion – Mit Schlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die events:Describe-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der Describe-Operation.

  • Effekt – Geben Sie entweder Zulassen oder Verweigern an. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

Informationen zu den EventBridge-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter Referenz zu Amazon-EventBridge-Berechtigungen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Zum Festlegen von Bedingungen verwenden Sie Bedingungsschlüssel. Es gibt AWS-Bedingungsschlüssel und EventBridge-spezifische Schlüssel, die Sie gegebenenfalls verwenden können. Sie finden eine vollständige Liste der AWS-Schlüssel unter Available Keys for Conditions (Verfügbare Schlüssel für Bedingungen) im IAM User Guide (IAM-Benutzerhandbuch). Eine vollständige Liste der EventBridge-spezifischen Schlüssel finden Sie unter Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle.