Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon EventBridge
Les politiques basées sur l'identité sont des politiques d'autorisations que vous attachez à des identités IAM.
Rubriques
- Politiques gérées par AWS pour EventBridge
- Autorisations nécessaires à EventBridge pour accéder à des cibles à l'aide de rôles IAM
- Exemple de politique gérée par le client : utilisation du balisage pour contrôler l'accès aux règles
- Mises à jour Amazon EventBridge relatives aux politiques gérées par AWS
Politiques gérées par AWS pour EventBridge
AWS est approprié pour de nombreux cas d'utilisation courants et fournit des politiques IAM autonomes qui sont créées et administrées par AWS. Les politiques gérées, ou prédéfinies, accordent les autorisations nécessaires pour les cas d'utilisation courants, ce qui vous évite d'avoir à déterminer quelles autorisations sont nécessaires. Pour plus d'informations, consultez la rubrique Politiques gérées par AWS dans le Guide de l'utilisateur IAM.
Les politiques gérées par AWS suivantes, que vous pouvez attacher aux utilisateurs de votre compte, sont propres à EventBridge :
-
AmazonEventBridgeFullAccess : accorde un accès complet à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et au planificateur EventBridge.
-
AmazonEventBridgeReadOnlyAccess : accorde un accès en lecture seule à EventBridge, y compris à EventBridge Pipes, EventBridge Schemas et au planificateur EventBridge.
Politique AmazonEventBridgeFullAccess
La politique AmazonEventBridgeFullAccess accorde les autorisations nécessaires pour utiliser toutes les actions EventBridge, ainsi que les autorisations suivantes :
-
iam:CreateServiceLinkedRole: EventBridge a besoin de cette autorisation pour créer la fonction du service dans votre compte pour les destinations d'API. Cette autorisation accorde uniquement les autorisations du service IAM nécessaires pour créer un rôle dans votre compte, plus particulièrement pour les destinations d'API. -
iam:PassRole: EventBridge a besoin de cette autorisation pour transmettre un rôle d'invocation à EventBridge en vue d'invoquer la cible d'une règle. -
Autorisations Secrets Manager : EventBridge a besoin de ces autorisations pour gérer les secrets de votre compte lorsque vous fournissez des informations d'identification via la ressource de connexion en vue d'autoriser des destinations API.
Le JSON suivant illustre la politique AmazonEventBridgeFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "IAMCreateServiceLinkedRoleForAmazonEventBridgeSchemas", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/schemas.amazonaws.com/AWSServiceRoleForSchemas", "Condition": { "StringEquals": { "iam:AWSServiceName": "schemas.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Note
Les informations contenues dans cette section s'appliquent également à la politique CloudWatchEventsFullAccess. Toutefois, il est vivement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.
Politique AmazonEventBridgeReadOnlyAccess
La politique AmazonEventBridgeReadOnlyAccess accorde les autorisations nécessaires pour utiliser toutes les actions EventBridge en lecture.
Le JSON suivant illustre la politique AmazonEventBridgeReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Note
Les informations contenues dans cette section s'appliquent également à la politique CloudWatchEventsReadOnlyAccess. Toutefois, il est vivement recommandé d'utiliser Amazon EventBridge au lieu d'Amazon CloudWatch Events.
Politiques gérées propres aux schémas EventBridge
Un schéma définit la structure des événements envoyés à EventBridge. EventBridge fournit des schémas pour tous les événements générés par les services AWS. Voici les politiques gérées par AWS propres aux schémas EventBridge qui sont disponibles :
Politiques gérées propres au planificateur EventBridge
Le planificateur Amazon EventBridge est un planificateur sans serveur qui vous permet de créer, d'exécuter et de gérer des tâches à partir d'un service central et géré. Pour plus d'informations sur les politiques gérées par AWS propres au planificateur EventBridge, consultez Politiques gérées par AWS pour le planificateur EventBridge dans le Guide de l'utilisateur du planificateur EventBridge.
Politiques gérées propres à EventBridge Pipes
Amazon EventBridge Pipes connecte les sources d'événements aux cibles. Ils réduisent le besoin de connaissances spécialisées et de code d'intégration lors du développement d'architectures pilotées par les événements. Cela permet d'assurer la cohérence dans les applications de votre entreprise. Voici les politiques gérées par AWS propres à EventBridge Pipes qui sont disponibles :
AmazonEventBridgePipesFullAccess
Fournit un accès complet à Amazon EventBridge Pipes.
Note
Cette politique fournit
iam:PassRole: EventBridge Pipes a besoin de cette autorisation pour transmettre un rôle d'invocation à EventBridge afin de créer et de démarrer des canaux.AmazonEventBridgePipesReadOnlyAccess
Fournit un accès en lecture seule à Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fournit un accès en lecture seule et un accès opérateur (c'est-à-dire la possibilité d'arrêter et de démarrer l'exécution de canaux) à Amazon EventBridge Pipes.
Rôles IAM pour l'envoi d'événements
Pour relayer les événements vers les cibles, EventBridge a besoin d'un rôle IAM.
Pour créer un rôle IAM permettant l'envoi des événements à EventBridge
Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Pour créer un rôle IAM, suivez les étapes décrites dans Création d'un rôle pour déléguer des autorisations à un service AWS dans le Guide de l'utilisateur IAM. Au cours de ces étapes, procédez comme suit :
-
Dans Nom du rôle, utilisez un nom unique au sein de votre compte.
-
Dans Sélectionner un type de rôle, choisissez Fonctions du service AWS, puis Amazon EventBridge. Cela a pour effet d'accorder les autorisations EventBridge nécessaires pour endosser le rôle.
-
Dans Attacher la politique, choisissez AmazonEventBridgeFullAccess.
-
Vous pouvez également créer vos propres politiques IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources EventBridge. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations. Pour plus d'informations sur les politiques IAM, consultez Présentation des politiques IAM dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la gestion et la création de politiques IAM personnalisées, consultez Gestion des politiques IAM dans le Guide de l'utilisateur IAM.
Autorisations nécessaires à EventBridge pour accéder à des cibles à l'aide de rôles IAM
Les cibles EventBridge nécessitent généralement des rôles IAM qui accordent à EventBridge l'autorisation d'invoquer la cible. Voici quelques exemples pour différents services AWS et différentes cibles. Pour les autres, utilisez la console EventBridge pour créer une règle ainsi qu'un rôle qui intégrera une politique dotée d'autorisations bien délimitées et préconfigurées.
Les cibles de bus Amazon SQS, Amazon SNS, Lambda, CloudWatch Logs et EventBridge n'utilisent pas de rôles, et les autorisations d'accès à EventBridge doivent être accordées via une politique de ressource. Les cibles API Gateway peuvent utiliser des politiques de ressource ou des rôles IAM.
Si la cible est une destination d'API, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Si la cible est un flux Kinesis, le rôle utilisé pour envoyer les données d'événements à cette cible doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs valeurs InstanceIds pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si la cible est la fonctionnalité Exécuter la commande de Systems Manager et que vous spécifiez une ou plusieurs balises pour la commande, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Si la cible est une machine d'état AWS Step Functions, le rôle que vous précisez doit comprendre la stratégie suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Si la cible est une tâche Amazon ECS, le rôle que vous spécifiez doit inclure la politique suivante.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
La politique suivante autorise les cibles intégrées d'EventBridge à effectuer des actions Amazon EC2 en votre nom. Vous devez utiliser la AWS Management Console pour créer des règles avec des cibles intégrées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
La politique suivante autorise EventBridge à relayer les événements vers les flux Kinesis de votre compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Exemple de politique gérée par le client : utilisation du balisage pour contrôler l'accès aux règles
L'exemple suivant présente une politique utilisateur qui accorde des autorisations pour les actions EventBridge. Cette politique fonctionne lorsque vous utilisez l'API EventBridge, des kits AWS SDK ou l'interface AWS CLI.
Vous pouvez accorder aux utilisateurs un accès à certaines règles EventBridge tout en leur empêchant d'accéder aux autres. Pour ce faire, balisez les deux ensembles de règles et utilisez des politiques IAM qui fassent référence à ces balises. Pour plus d'informations sur le balisage des ressources EventBridge, consultez EventBridge Balises Amazon.
Vous pouvez accorder une politique IAM à un utilisateur pour autoriser l'accès aux seules règles disposant d'une balise déterminée. Pour choisir les règles auxquelles vous accordez accès, associez-les à cette balise. Par exemple, la politique suivante accorde un accès utilisateur aux règles dont la clé de balise Stack a la valeur Prod.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Pour plus d'informations sur l'utilisation des instructions de politique IAM, consultez Contrôle de l'accès à l'aide des politiques dans le Guide de l'utilisateur IAM.
Mises à jour Amazon EventBridge relatives aux politiques gérées par AWS
Consultez le détail des mises à jour apportées aux politiques gérées par AWS pour EventBridge depuis que ce service effectue le suivi de ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document EventBridge.
| Modification | Description | Date |
|---|---|---|
|
AmazonEventBridgePipesFullAccess – Nouvelle politique ajoutée |
EventBridge a ajouté une politique gérée pour accorder des autorisations complètes pour l'utilisation d'EventBridge Pipes. |
1er décembre 2022 |
|
AmazonEventBridgePipesReadOnlyAccess – Nouvelle politique ajoutée |
EventBridge a ajouté une politique gérée pour accorder les autorisations nécessaires pour afficher les ressources d'information d'EventBridge Pipes. |
1er décembre 2022 |
|
AmazonEventBridgePipesOperatorAccess – Nouvelle politique ajoutée |
EventBridge a ajouté une politique gérée pour accorder les autorisations nécessaires pour afficher les informations d'EventBridge Pipes, mais aussi pour démarrer et arrêter l'exécution des canaux. |
1er décembre 2022 |
|
AmazonEventBridgeFullAccess – Mise à jour d'une politique existante |
EventBridge a mis à jour la politique afin d'y inclure les autorisations nécessaires pour utiliser les fonctionnalités d'EventBridge Pipes. |
1er décembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d'une politique existante |
EventBridge a ajouté les autorisations nécessaires pour afficher les ressources d'information d'EventBridge Pipes. Les actions suivantes ont été ajoutées :
|
1er décembre 2022 |
|
CloudWatchEventsReadOnlyAccess – Mise à jour d'une politique existante |
Mis à jour pour correspondre à la politique AmazonEventBridgeReadOnlyAccess. |
1er décembre 2022 |
|
CloudWatchEventsFullAccess – Mise à jour d'une politique existante |
Mis à jour pour correspondre à la politique AmazonEventBridgeFullAccess. |
1er décembre 2022 |
|
AmazonEventBridgeFullAccess – Mise à jour d'une politique existante |
EventBridge a mis à jour la politique afin d'y inclure les autorisations nécessaires pour utiliser les fonctionnalités des schémas et du planificateur. Les autorisations suivantes ont été ajoutées :
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d'une politique existante |
EventBridge a ajouté les autorisations nécessaires pour afficher les ressources d'information des schémas et du planificateur. Les actions suivantes ont été ajoutées :
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d'une politique existante |
EventBridge a ajouté les autorisations nécessaires pour afficher les informations des points de terminaison. Les actions suivantes ont été ajoutées :
|
7 avril 2022 |
|
AmazonEventBridgeReadOnlyAccess – Mise à jour d'une politique existante |
EventBridge a ajouté les autorisations nécessaires pour afficher les informations de connexion et de destination d'API. Les actions suivantes ont été ajoutées :
|
4 mars 2021 |
|
AmazonEventBridgeFullAccess – Mise à jour d'une politique existante |
EventBridge a mis à jour la politique pour y inclure les autorisations Les actions suivantes ont été ajoutées :
|
4 mars 2021 |
|
Début du suivi des modifications réalisé par EventBridge |
Début du suivi des modifications réalisé par EventBridge pour ses politiques gérées par AWS. |
4 mars 2021 |
