Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon EventBridge
Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an eine IAM-Identität anfügen können.
Themen
- AWS verwaltete Richtlinien für EventBridge
- Berechtigungen, die für den Zugriff EventBridge auf Ziele mithilfe von IAM-Rollen erforderlich sind
- Beispiel für eine vom Kunden verwaltete Richtlinie: Verwenden der Markierung mit Tags zum Steuern des Zugriffs auf Regeln
- EventBridge Aktualisierungen der AWS verwalteten Richtlinien durch Amazon
AWS verwaltete Richtlinien für EventBridge
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Verwaltete oder vordefinierte Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für EventBridge:
-
AmazonEventBridgeFullAccess— Gewährt vollen Zugriff auf EventBridge, einschließlich EventBridge Pipes, EventBridge Schemas und EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf EventBridge, einschließlich EventBridge Pipes, Schemas und Scheduler. EventBridge EventBridge
AmazonEventBridgeFullAccess Richtlinie
Die AmazonEventBridgeFullAccess Richtlinie gewährt Berechtigungen zur Verwendung aller EventBridge Aktionen sowie die folgenden Berechtigungen:
-
iam:CreateServiceLinkedRole— EventBridge benötigt diese Berechtigung, um die Servicerolle in Ihrem Konto für API-Ziele zu erstellen. Diese Berechtigung gewährt nur dem IAM-Service die Berechtigung, eine Rolle in Ihrem Konto speziell für API-Ziele zu erstellen. -
iam:PassRole— EventBridge benötigt diese Berechtigung, um eine Aufrufrolle zu übergeben, an die das Ziel einer Regel aufgerufen werden EventBridge soll. -
Secrets Manager Manager-Berechtigungen — EventBridge erfordert diese Berechtigungen, um Geheimnisse in Ihrem Konto zu verwalten, wenn Sie Anmeldeinformationen über die Verbindungsressource angeben, um API-Ziele zu autorisieren.
Die folgende JSON-Datei zeigt die AmazonEventBridgeFullAccess Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Anmerkung
Die Informationen in diesem Abschnitt gelten auch für die Richtlinie CloudWatchEventsFullAccess. Es wird jedoch dringend empfohlen, Amazon EventBridge anstelle von Amazon CloudWatch Events zu verwenden.
AmazonEventBridgeReadOnlyAccess Richtlinie
Die AmazonEventBridgeReadOnlyAccess Richtlinie gewährt Berechtigungen zur Verwendung aller EventBridge Leseaktionen.
Die folgende JSON-Datei zeigt die AmazonEventBridgeReadOnlyAccess Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Anmerkung
Die Informationen in diesem Abschnitt gelten auch für die Richtlinie CloudWatchEventsReadOnlyAccess. Es wird jedoch dringend empfohlen, Amazon EventBridge anstelle von Amazon CloudWatch Events zu verwenden.
EventBridge Schemaspezifische verwaltete Richtlinien
Ein Schema definiert die Struktur der Ereignisse, an die gesendet werden. EventBridge EventBridge stellt Schemas für alle Ereignisse bereit, die von AWS Diensten generiert werden. Die folgenden AWS verwalteten Richtlinien sind speziell für EventBridge Schemas verfügbar:
EventBridge Scheduler-spezifische verwaltete Richtlinien
Amazon EventBridge Scheduler ist ein serverloser Scheduler, mit dem Sie Aufgaben von einem zentralen, verwalteten Service aus erstellen, ausführen und verwalten können. Informationen zu AWS verwalteten Richtlinien, die speziell für EventBridge Scheduler gelten, finden Sie unter AWS Verwaltete Richtlinien für EventBridge Scheduler im Scheduler-Benutzerhandbuch. EventBridge
EventBridge Rohrspezifische verwaltete Richtlinien
Amazon EventBridge Pipes verbindet Ereignisquellen mit Zielen. Pipes reduzieren den Bedarf an Fachwissen und Integrationscode bei der Entwicklung ereignisgesteuerter Architekturen. Dies trägt dazu bei, die Konsistenz der Anwendungen Ihres Unternehmens sicherzustellen. Die folgenden AWS verwalteten Richtlinien, die speziell für EventBridge Pipes gelten, sind verfügbar:
AmazonEventBridgePipesFullAccess
Bietet vollen Zugriff auf Amazon EventBridge Pipes.
Anmerkung
Diese Richtlinie sieht vor,
iam:PassRoledass EventBridge Pipes diese Berechtigung benötigt, um eine Aufrufrolle zu übergeben, EventBridge um Pipes zu erstellen und zu starten.AmazonEventBridgePipesReadOnlyAccess
Bietet schreibgeschützten Zugriff auf Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Bietet schreibgeschützten Zugriff und Bedienerzugriff (d. h. die Möglichkeit, die Ausführung von Pipes zu beenden und zu starten) auf Amazon EventBridge Pipes.
IAM-Rollen zum Senden von Ereignissen
Um Ereignisse an Ziele weiterzuleiten, ist eine EventBridge IAM-Rolle erforderlich.
Um eine IAM-Rolle für das Senden von Ereignissen zu erstellen EventBridge
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Um eine IAM-Rolle zu erstellen, folgen Sie den Schritten unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im IAM-Benutzerhandbuch. Beachten Sie Folgendes, während Sie die Schritte ausführen:
-
Geben Sie unter Rollenname einen Namen ein, der innerhalb Ihres Kontos eindeutig ist.
-
Wählen Sie unter Rollentyp auswählen die Option AWS Service Roles und dann Amazon aus EventBridge. Dadurch werden EventBridge Berechtigungen zur Übernahme der Rolle erteilt.
-
Wählen Sie unter Richtlinie anhängen die Option aus AmazonEventBridgeFullAccess.
-
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für EventBridge Aktionen und Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen. Weitere Informationen zu IAM-Richtlinien finden Sie unter Übersicht über IAM-Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen zum Verwalten und Erstellen von benutzerdefinierten IAM-Richtlinien finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch.
Berechtigungen, die für den Zugriff EventBridge auf Ziele mithilfe von IAM-Rollen erforderlich sind
EventBridge Ziele benötigen in der Regel IAM-Rollen, die die Berechtigung EventBridge zum Aufrufen des Ziels gewähren. Im Folgenden finden Sie einige Beispiele für verschiedene AWS Dienste und Ziele. Andere Benutzer können die EventBridge Konsole verwenden, um eine Regel und eine neue Rolle zu erstellen, die dann mit einer Richtlinie mit vorkonfigurierten Berechtigungen für einen bestimmten Gültigkeitsbereich erstellt wird.
Amazon SQS, Amazon SNS, Lambda, CloudWatch Logs und EventBridge Busziele verwenden keine Rollen, und Berechtigungen dafür EventBridge müssen über eine Ressourcenrichtlinie erteilt werden. API-Gateway-Ziele können entweder Ressourcenrichtlinien oder IAM-Rollen verwenden.
Wenn das Ziel ein API-Ziel ist, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Wenn das Ziel ein Kinesis-Stream ist, muss die Rolle, die zum Senden von Ereignisdaten an das Ziel verwendet wird, folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Wenn das Ziel Systems Manager Run Command ist und Sie einen oder mehrere InstanceIds-Werte für den Befehl angeben, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Wenn das Ziel Systems Manager Run Command ist und Sie einen oder mehrere Tags für den Befehl angeben, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Wenn es sich bei dem Ziel um eine AWS Step Functions Zustandsmaschine handelt, muss die von Ihnen angegebene Rolle die folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Wenn das Ziel eine Amazon-ECS-Aufgabe ist, muss die Rolle, die Sie angeben, die folgende Richtlinie enthalten.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
Die folgende Richtlinie ermöglicht es integrierten Zielen EventBridge , Amazon EC2 EC2-Aktionen in Ihrem Namen durchzuführen. Sie müssen den verwenden, AWS Management Console um Regeln mit integrierten Zielen zu erstellen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
Die folgende Richtlinie ermöglicht EventBridge die Weiterleitung von Ereignissen an die Kinesis-Streams in Ihrem Konto.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Beispiel für eine vom Kunden verwaltete Richtlinie: Verwenden der Markierung mit Tags zum Steuern des Zugriffs auf Regeln
Das folgende Beispiel zeigt eine Benutzerrichtlinie, die Berechtigungen für EventBridge Aktionen gewährt. Diese Richtlinie funktioniert, wenn Sie die EventBridge API, AWS SDKs oder die AWS CLI verwenden.
Sie können Benutzern Zugriff auf bestimmte EventBridge Regeln gewähren und sie gleichzeitig daran hindern, auf andere Regeln zuzugreifen. Hierzu markieren Sie beide Regelsätze mit Tags und verwenden dann IAM-Richtlinien, die auf diese Tags verweisen. Weitere Informationen zum Markieren von EventBridge Ressourcen finden Sie unter EventBridge Amazon-Tags.
Sie können einem Benutzer eine IAM-Richtlinie zuweisen, die ausschließlich den Zugriff auf Regeln mit einem bestimmten Tag zulässt. Sie wählen aus, auf welche Regeln Sie Zugriff gewähren möchten, indem Sie sie mit diesem bestimmten Tag markieren. Beispielweise gewährt die folgende Richtlinie einem Benutzer nur den Zugriff auf Regeln mit dem Wert Prod für den Tag-Schlüssel Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Weitere Informationen zur Verwendung von IAM-Richtlinienanweisungen finden Sie unter Steuern des Zugriffs mithilfe von Richtlinien im IAM-Benutzerhandbuch.
EventBridge Aktualisierungen der AWS verwalteten Richtlinien durch Amazon
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die EventBridge seit Beginn der Nachverfolgung dieser Änderungen durch diesen Service vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite EventBridge Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
AmazonEventBridgeFullAccess— Aktualisierte Richtlinie |
AWS GovCloud (US) Regions nur Die folgende Erlaubnis ist nicht enthalten, da sie nicht verwendet wird:
|
9. Mai 2024 |
|
AmazonEventBridgeSchemasFullAccess— Aktualisierte Richtlinie |
AWS GovCloud (US) Regions nur Die folgende Erlaubnis ist nicht enthalten, da sie nicht verwendet wird:
|
9. Mai 2024 |
|
AmazonEventBridgePipesFullAccess— Neue Richtlinie hinzugefügt |
EventBridge Es wurde eine verwaltete Richtlinie für vollständige Berechtigungen zur Verwendung von EventBridge Pipes hinzugefügt. |
01. Dezember 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Neue Richtlinie hinzugefügt |
EventBridge Es wurde eine verwaltete Richtlinie für Berechtigungen zum Anzeigen von EventBridge Pipes-Informationsressourcen hinzugefügt. |
01. Dezember 2022 |
|
AmazonEventBridgePipesOperatorAccess— Neue Richtlinie hinzugefügt |
EventBridge Es wurde eine verwaltete Richtlinie für Berechtigungen zum Anzeigen von EventBridge Pipes-Informationen sowie zum Starten und Stoppen des Betriebs von Pipes hinzugefügt. |
01. Dezember 2022 |
|
AmazonEventBridgeFullAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Die Richtlinie wurde aktualisiert, sodass sie die für die Nutzung der EventBridge Pipes-Funktionen erforderlichen Berechtigungen enthält. |
01. Dezember 2022 |
|
AmazonEventBridgeReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Es wurden Berechtigungen hinzugefügt, die für das Anzeigen von EventBridge Pipes-Informationsressourcen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt:
|
01. Dezember 2022 |
|
CloudWatchEventsReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
Passend aktualisiert AmazonEventBridgeReadOnlyAccess. |
01. Dezember 2022 |
|
CloudWatchEventsFullAccess – Aktualisierung auf eine bestehende Richtlinie |
Passend aktualisiert AmazonEventBridgeFullAccess. |
01. Dezember 2022 |
|
AmazonEventBridgeFullAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Die Richtlinie wurde aktualisiert und enthält nun auch die für die Verwendung von Schemas und Scheduler-Funktionen erforderlichen Berechtigungen. Die folgenden Berechtigungen wurden hinzugefügt:
|
10. November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Es wurden Berechtigungen hinzugefügt, die für das Anzeigen von Schema- und Scheduler-Informationsressourcen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt:
|
10. November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Es wurden die für das Anzeigen von Endpunktinformationen erforderlichen Berechtigungen hinzugefügt. Die folgenden Aktionen wurden hinzugefügt:
|
7. April 2022 |
|
AmazonEventBridgeReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Es wurden Berechtigungen hinzugefügt, die zum Anzeigen von Verbindungs- und API-Zielinformationen erforderlich sind. Die folgenden Aktionen wurden hinzugefügt:
|
4. März 2021 |
|
AmazonEventBridgeFullAccess – Aktualisierung auf eine bestehende Richtlinie |
EventBridge Die Richtlinie wurde aktualisiert Die folgenden Aktionen wurden hinzugefügt:
|
4. März 2021 |
|
EventBridge hat begonnen, Änderungen zu verfolgen |
EventBridge hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. |
4. März 2021 |
