Berechtigungen zur Ereignisquelle für Amazon EventBridge Pipes

Beim Einrichten einer Pipe können Sie eine vorhandene Ausführungsrolle verwenden oder sich eine mit den erforderlichen Berechtigungen EventBridge erstellen lassen. Die Berechtigungen, die EventBridge Pipes benötigt, variieren je nach Quelltyp und sind unten aufgeführt. Wenn Sie Ihre eigene Ausführungsrolle einrichten, müssen Sie diese Berechtigungen selbst hinzufügen.

Anmerkung

Wenn Sie sich nicht sicher sind, welche Berechtigungen im genauen Umfang für den Zugriff auf die Quelle erforderlich sind, verwenden Sie die EventBridge Pipes-Konsole, um eine neue Rolle zu erstellen, und überprüfen Sie dann die in der Richtlinie aufgeführten Aktionen.

Berechtigungen für DynamoDB-Ausführungsrollen

Für DynamoDB Streams benötigt EventBridge Pipes die folgenden Berechtigungen, um Ressourcen zu verwalten, die sich auf Ihren DynamoDB-Datenstream beziehen.

• dynamodb:DescribeStream

• dynamodb:GetRecords

• dynamodb:GetShardIterator

• dynamodb:ListStreams

Um Datensätze über fehlgeschlagene Stapel an die Pipe-Warteschlange für unzustellbare Nachrichten zu senden, benötigt Ihre Pipe-Ausführungsrolle die folgende Berechtigung:

• sqs:SendMessage

Berechtigungen für Kinesis-Ausführungsrollen

Für Kinesis benötigt EventBridge Pipes die folgenden Berechtigungen, um Ressourcen zu verwalten, die sich auf Ihren Kinesis-Datenstream beziehen.

• kinesis:DescribeStream

• kinesis:DescribeStreamSummary

• kinesis:GetRecords

• kinesis:GetShardIterator

• kinesis:ListShards

• kinesis:ListStreams

• kinesis:SubscribeToShard

Um Datensätze über fehlgeschlagene Stapel an die Pipe-Warteschlange für unzustellbare Nachrichten zu senden, benötigt Ihre Pipe-Ausführungsrolle die folgende Berechtigung:

• sqs:SendMessage

Berechtigungen für Amazon-MQ-Ausführungsrollen

Für Amazon MQ benötigt EventBridge Pipes die folgenden Berechtigungen, um Ressourcen zu verwalten, die sich auf Ihren Amazon MQ Message Broker beziehen.

• mq:DescribeBroker

• secretsmanager:GetSecretValue

• ec2:CreateNetworkInterface

• ec2:DeleteNetworkInterface

• ec2:DescribeNetworkInterfaces

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeVpcs

• logs:CreateLogGroup

• logs:CreateLogStream

• logs:PutLogEvents

Berechtigungen für Amazon-MSK-Ausführungsrollen

Für Amazon MSK sind die folgenden Berechtigungen EventBridge erforderlich, um Ressourcen zu verwalten, die sich auf Ihr Amazon MSK-Thema beziehen.

Anmerkung

Wenn Sie die rollenbasierte IAM-Authentifizierung verwenden, benötigt Ihre Ausführungsrolle zusätzlich zu den unten aufgeführten Berechtigungen die in Auf IAM-Rolle basierende Authentifizierung aufgeführten.

• kafka:DescribeClusterV2

• kafka:GetBootstrapBrokers

• ec2:CreateNetworkInterface

• ec2:DescribeNetworkInterfaces

• ec2:DescribeVpcs

• ec2:DeleteNetworkInterface

• ec2:DescribeSubnets

• ec2:DescribeSecurityGroups

• logs:CreateLogGroup

• logs:CreateLogStream

• logs:PutLogEvents

Berechtigungen für selbstverwaltete Apache-Kafka-Ausführungsrollen

Für selbstverwaltetes Apache Kafka sind die folgenden Berechtigungen EventBridge erforderlich, um Ressourcen zu verwalten, die sich auf Ihren selbst verwalteten Apache Kafka-Stream beziehen.

Erforderliche Berechtigungen

Um Protokolle in einer Protokollgruppe in Amazon CloudWatch Logs zu erstellen und zu speichern, muss Ihre Pipe in ihrer Ausführungsrolle über die folgenden Berechtigungen verfügen:

• logs:CreateLogGroup

• logs:CreateLogStream

• logs:PutLogEvents

Optionale Berechtigungen

Ihre Pipe benötigt möglicherweise auch Berechtigungen, um:

• Beschreiben Ihres Secrets-Manager-Secrets

• Greifen Sie auf Ihren AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel zu.

• Zugriff auf Ihre Amazon VPC

Secrets Manager und AWS KMS Berechtigungen

Abhängig von der Art der Zugriffssteuerung, die Sie für Ihre Apache-Kafka-Broker konfigurieren, benötigt Ihre Pipe möglicherweise die Berechtigung, auf Ihr Secrets-Manager-Secret zuzugreifen oder Ihren vom Kunden verwalteten AWS KMS -Schlüssel zu entschlüsseln. Um auf diese Ressourcen zuzugreifen, muss die Ausführungsrolle Ihrer Funktion die folgenden Berechtigungen besitzen:

• secretsmanager:GetSecretValue

• kms:Decrypt

VPC-Berechtigungen

Wenn nur Benutzer innerhalb einer VPC auf Ihren selbstverwalteten Apache-Kafka-Cluster zugreifen können, muss Ihre Pipe die Berechtigung zum Zugriff auf Ihre Amazon-VPC-Ressourcen haben. Zu diesen Ressourcen gehören Ihre VPC, Subnetze, Sicherheitsgruppen und Netzwerkschnittstellen. Um auf diese Ressourcen zuzugreifen, muss die Ausführungsrolle Ihrer Pipe die folgenden Berechtigungen besitzen:

• ec2:CreateNetworkInterface

• ec2:DescribeNetworkInterfaces

• ec2:DescribeVpcs

• ec2:DeleteNetworkInterface

• ec2:DescribeSubnets

• ec2:DescribeSecurityGroups

Berechtigungen für Amazon-SQS-Ausführungsrollen

Für Amazon SQS sind die folgenden Berechtigungen EventBridge erforderlich, um Ressourcen zu verwalten, die sich auf Ihre Amazon SQS SQS-Warteschlange beziehen.

• sqs:ReceiveMessage

• sqs:DeleteMessage

• sqs:GetQueueAttributes

Berechtigungen für Anreicherungen und Ziele

EventBridge Pipes benötigt die entsprechenden Berechtigungen, um API-Aufrufe für die Ressourcen zu tätigen, die Ihnen gehören. EventBridge Pipes verwendet die IAM-Rolle, die Sie in der Pipe für Anreicherungs- und Zielaufrufen mithilfe des IAM-Prinzipals angeben. pipes.amazonaws.com