Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Envío y recepción de EventBridge eventos de Amazon entre AWS cuentas
Puede configurarlos EventBridge para enviar y recibir eventos entre los buses de eventos de las AWS cuentas. Al EventBridge configurar el envío o la recepción de eventos entre cuentas, puede especificar qué AWS cuentas pueden enviar o recibir eventos desde el bus de eventos de su cuenta. También puede permitir o denegar eventos de reglas específicas asociadas al bus de eventos o eventos de orígenes específicos. Para obtener más información, consulta Cómo simplificar el acceso entre cuentas con las políticas de recursos de Amazon EventBridge
nota
Si las utilizas AWS Organizations, puedes especificar una organización y conceder acceso a todas las cuentas de esa organización. Además, el bus de eventos de envío debe tener roles de IAM asociados al enviar eventos a otra cuenta. Para obtener más información, consulte ¿Qué es AWS Organizations? en la Guía del usuario de AWS Organizations .
nota
Si utiliza un plan de respuesta del Administrador de incidentes como destino, todos los planes de respuesta que se comparten con su cuenta estarán disponibles de forma predeterminada.
Puede enviar y recibir eventos entre grupos de eventos de AWS cuentas de la misma región en todas las regiones y entre cuentas de diferentes regiones, siempre que la región de destino sea una región de destino multiregional compatible.
Los pasos EventBridge para configurar el envío o la recepción de eventos desde un bus de eventos de una cuenta diferente son los siguientes:
-
En la cuenta receptora, edite los permisos de un bus de eventos para permitir que determinadas AWS cuentas, una organización o todas AWS las cuentas envíen eventos a la cuenta receptora.
-
En la cuenta remitente, configure una o varias reglas que tengan como destino el bus de eventos de la cuenta receptora.
Si la cuenta del remitente hereda los permisos para enviar eventos de una AWS organización, la cuenta del remitente también debe tener una función de IAM con políticas que le permitan enviar eventos a la cuenta receptora. Si la usa AWS Management Console para crear la regla dirigida al bus de eventos de la cuenta receptora, la función se crea automáticamente. Si usa el AWS CLI, debe crear el rol manualmente.
-
En la cuenta receptora, configure una o varias reglas que coincidan con eventos procedentes de la cuenta remitente.
Los eventos enviados de una cuenta a otra se cargan a la cuenta remitente como eventos personalizados. No se cobra nada a la cuenta receptora. Para obtener más información, consulta los EventBridge precios de Amazon
Si una cuenta receptora configura una regla que envíe los eventos recibidos de una cuenta remitente a una tercera cuenta, estos eventos no se envían a la tercera cuenta.
Si tienes tres buses de eventos en la misma cuenta y configuras una regla en el primer bus de eventos para reenviar los eventos del segundo bus de eventos a un tercer bus de eventos, esos eventos no se envían al tercer bus de eventos.
En el siguiente vídeo se describe el direccionamiento de eventos entre cuentas:
Otorga permisos para permitir eventos de otras AWS cuentas
Para recibir eventos desde otras organizaciones o cuentas, primero debe editar los permisos en el bus de eventos en el que desea recibir los eventos. El bus de eventos predeterminado acepta eventos de AWS servicios, otras AWS cuentas autorizadas y PutEvents llamadas. Los permisos para un bus de eventos se conceden o deniegan mediante una política basada en recursos adjunta al bus de eventos. En la política, puedes conceder permisos a otras AWS cuentas con el ID de la cuenta o a una AWS organización con el ID de la organización. Para obtener más información sobre los permisos del bus de eventos, incluidos ejemplos de políticas, consulte Permisos para buses de eventos de Amazon EventBridge.
nota
EventBridge ahora requiere que todos los nuevos destinos de bus de eventos entre cuentas agreguen funciones de IAM. Esto solo se aplica a los destinos de bus de eventos creados después del 2 de marzo de 2023. Las aplicaciones creadas sin un rol de IAM antes de esa fecha no se ven afectadas. Sin embargo, recomendamos añadir roles de IAM para permitir que los usuarios accedan a los recursos de otra cuenta, ya que así se garantizan los límites organizativos mediante políticas de control de servicios (SCP) para determinar quién puede enviar y recibir eventos de las cuentas de su organización.
importante
Si eliges recibir eventos de todas las AWS cuentas, asegúrate de crear reglas que coincidan únicamente con los eventos que quieres recibir de otras cuentas. Para crear reglas más seguras, asegúrese de que el patrón de eventos de cada regla contiene un campo Account con el ID de una o varias cuentas desde las que desea recibir eventos. Las reglas que tienen un patrón de eventos que contiene un campo Account (Cuenta) no coinciden con los eventos enviados desde cuentas que no aparecen en el campo Account. Para obtener más información, consulte EventBridge Eventos de Amazon.
Reglas para los eventos entre AWS cuentas
Si tu cuenta está configurada para recibir eventos de los buses de eventos de otras AWS cuentas, puedes escribir reglas que coincidan con esos eventos. Establezca el patrón de eventos de la regla para que coincida con los eventos que recibe de la otra cuenta.
A menos que especifique account en el patrón de eventos de una regla, cualquiera de las reglas de la cuenta, ya sean nuevas o existentes, que coincidan con los eventos que recibe de los buses de eventos de otras cuentas se activa en función de dichos eventos. Si recibe eventos de los buses de eventos de otra cuenta y desea que solamente se active una regla en ese patrón de eventos cuando se genere desde su propia cuenta, debe agregar account y especificar su propio ID de cuenta en el patrón de eventos de la regla.
Si configuraste tu AWS cuenta para aceptar eventos de los autobuses de eventos en todas las AWS cuentas, te recomendamos encarecidamente que las añadas account a todas las EventBridge reglas de tu cuenta. Esto evita que las reglas de tu cuenta se activen en eventos de AWS cuentas desconocidas. Cuando especifique el campo account de la regla, puede especificar los ID de varias cuentas de AWS en dicho campo.
Para que una regla se active en un evento coincidente desde cualquier bus de eventos de la AWS cuenta a la que hayas concedido permisos, no especifiques un asterisco (*) en el account campo de la regla. Si lo hace, no se encontrarán coincidencias de ningún evento, porque * no aparece nunca en el campo account de un evento. En lugar de ello, omita el campo account de la regla.
Crear reglas que envíen eventos entre AWS cuentas
Especificar un bus de eventos en otra cuenta como destino forma parte de la creación de la regla.
Para crear una regla que envíe eventos a una AWS cuenta diferente mediante la consola
Siga los pasos que se indican en el procedimiento Crear reglas de Amazon EventBridge que reaccionan a eventos.
En el paso Seleccionar los destinos, cuando se le pida que seleccione un tipo de destino:
Seleccione el bus de EventBridge eventos.
Seleccione Bus de eventos en una cuenta o región diferente.
Para Bus de eventos como destino, introduzca el ARN del bus de eventos que desee utilizar.
Siga los pasos del procedimiento para crear la regla.
