Rôles IAM pour envoyer des événements à des cibles sur Amazon EventBridge - Amazon EventBridge
Autorisations d'accès aux ciblesExemple de politique gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles IAM pour envoyer des événements à des cibles sur Amazon EventBridge

Pour relayer des événements vers des cibles, un rôle IAM est EventBridge nécessaire.

Pour créer un rôle IAM pour envoyer des événements à EventBridge

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Pour créer un rôle IAM, suivez les étapes décrites dans la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM. Au cours de ces étapes, procédez comme suit :

    • Dans Nom du rôle, utilisez un nom unique au sein de votre compte.

    • Dans Sélectionner le type de rôle, choisissez AWS Service Rôles, puis Amazon EventBridge. Cela donne EventBridge les autorisations nécessaires pour assumer le rôle.

    • Dans Attach Policy, sélectionnez AmazonEventBridgeFullAccess.

Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les EventBridge actions et les ressources. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations. Pour plus d’informations sur les politiques IAM, consultez Présentation des politiques IAM dans le Guide de l’utilisateur IAM. Pour plus d’informations sur la gestion et la création de politiques IAM personnalisées, consultez Gestion des politiques IAM dans le Guide de l’utilisateur IAM.

Autorisations requises pour accéder EventBridge aux cibles à l'aide de rôles IAM

EventBridge les cibles nécessitent généralement des rôles IAM qui accordent l'autorisation EventBridge d'invoquer la cible. Voici quelques exemples de différents AWS services et cibles. Pour les autres, utilisez la EventBridge console pour créer une règle et un nouveau rôle qui sera créé avec une politique avec des autorisations bien définies préconfigurées.

Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs et les cibles de bus n'utilisent pas de rôles EventBridge , et les EventBridge autorisations doivent être accordées via une politique de ressources. Les cibles API Gateway peuvent utiliser des politiques de ressource ou des rôles IAM.

Destinations d’API

Si la cible est une destination d'API, le rôle que vous spécifiez doit inclure une politique comportant l'instruction suivante :

  • Effet : Allow

  • Action : events:InvokeApiDestination

  • Ressource : arn:aws:events:*:*:api-destination/*

Flux Kinesis

Si la cible est un flux Kinesis, le rôle utilisé pour envoyer des données d'événements à cette cible doit inclure une politique comportant l'énoncé suivant :

  • Effet : Allow

  • Action : kinesis:PutRecord

  • Ressource : *

Commandes d'exécution de Systems Manager

Si la cible est la commande d'exécution de Systems Manager et que vous spécifiez une ou plusieurs InstanceIds valeurs pour la commande, le rôle que vous spécifiez doit inclure une politique comportant l'instruction suivante :

  • Effet : Allow

  • Action : ssm:SendCommand

  • Ressources : arn:aws:ec2:us-east-1:accountId:instance/instanceIds, arn:aws:ssm:us-east-1:*:document/documentName

Si la cible est la commande d'exécution de Systems Manager et que vous spécifiez une ou plusieurs balises pour la commande, le rôle que vous spécifiez doit inclure une politique comportant les deux actions suivantes :

  • Effet : Allow

  • Action : ssm:SendCommand

  • Ressources: arn:aws:ec2::accountId:instance/*

  • État :

    "StringEquals": {
  "ec2:ResourceTag/*": [
    "[[tagValues]]"
  ]
}

Et :

  • Effet : Allow

  • Action : ssm:SendCommand

  • Ressources: arn:aws:ssm:us-east-1:*:document/documentName

Machines d'état Step Functions

Si la cible est une machine à AWS Step Functions états, le rôle que vous spécifiez doit inclure une politique comportant les éléments suivants :

  • Effet : Allow

  • Action : states:StartExecution

  • Ressource : arn:aws:states:*:*:stateMachine:*

Tâches Amazon ECS

Si la cible est une tâche Amazon ECS, le rôle que vous spécifiez doit inclure la politique suivante.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:RunTask"
            ],
            "Resource": [
                "arn:aws:ecs:*:111122223333:task-definition/task-definition-name"
            ],
            "Condition": {
                "ArnLike": {
                    "ecs:cluster": "arn:aws:ecs:*:111122223333:cluster/cluster-name"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "ecs-tasks.amazonaws.com"
                }
            }
        }
    ]
}

La politique suivante autorise les cibles intégrées EventBridge à effectuer des EC2 actions Amazon en votre nom. Vous devez utiliser le AWS Management Console pour créer des règles avec des cibles intégrées.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TargetInvocationAccess",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:RebootInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:CreateSnapshot"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet EventBridge de relayer les événements vers les flux Kinesis de votre compte.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KinesisAccess",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord"
            ],
            "Resource": "*"
        }
    ]
}

Exemple de politique gérée par le client : utilisation du balisage pour contrôler l’accès aux règles

L'exemple suivant montre une politique utilisateur qui accorde des autorisations pour les EventBridge actions. Cette politique fonctionne lorsque vous utilisez l' EventBridge API AWS SDKs, ou le AWS CLI.

Vous pouvez autoriser les utilisateurs à accéder à des EventBridge règles spécifiques tout en les empêchant d'accéder à d'autres règles. Pour ce faire, balisez les deux ensembles de règles et utilisez des politiques IAM qui fassent référence à ces balises. Pour plus d'informations sur le balisage EventBridge des ressources, consultezMarquage des ressources sur Amazon EventBridge.

Vous pouvez accorder une politique IAM à un utilisateur pour autoriser l’accès aux seules règles disposant d’une balise déterminée. Pour choisir les règles auxquelles vous accordez accès, associez-les à cette balise. Par exemple, la politique suivante accorde un accès utilisateur aux règles dont la clé de balise Stack a la valeur Prod.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "events:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Stack": "Prod"
                }
            }
        }
    ]
}

Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez Contrôle de l'accès à l'aide des politiques dans le Guide de l'utilisateur IAM.