Mengelola izin akses keEventBridge sumber daya Amazon Anda - Amazon EventBridge
Sumber daya dan operasiKepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: tindakan, efek, dan prinsipMenetapkan ketentuan dalam kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin akses keEventBridge sumber daya Amazon Anda

Anda mengelola akses keEventBridge sumber daya seperti aturan atau peristiwa dengan menggunakan kebijakan berbasis identitas atau berbasis sumber daya.

Sumber daya EventBridge

EventBridgesumber daya dan subsumber daya memiliki Amazon Resource Names (ARN) unik yang terkait dengannya. Anda menggunakan ARN diEventBridge untuk membuat pola peristiwa. Untuk informasi selengkapnya tentang ARN, lihat Amazon Resource Names (ARN) dan NamespaceAWS Layanan di Ruang Nama Layanan dalam Referensi Umum Amazon Web Services.

Untuk daftar operasiEventBridge menyediakan untuk bekerja dengan sumber daya, lihatReferensi izin Amazon EventBridge.

catatan

Sebagian besar layanan di AWSmenganggap tanda titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARN. Namun,EventBridge menggunakan pencarian yang sama persis di pola peristiwa dan aturan. Pastikan untuk menggunakan karakter ARN yang benar saat membuat pola peristiwa sehingga mereka cocok dengan sintaks ARN dalam peristiwa yang Anda ingin cocokkan.

Tabel berikut menunjukkan sumber daya diEventBridge.

Jenis Sumber Daya Format ARN

Arsip

arn:aws:events:region:account:archive/archive-name

Putar Ulang

arn:aws:events:region:account:replay/replay-name

Aturan

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Bus peristiwa

arn:aws:events:region:account:event-bus/event-bus-name

Semua sumber daya EventBridge

arn:aws:events:*

SemuaEventBridge sumber daya yang dimiliki oleh akun yang ditentukan di Wilayah yang ditentukan

arn:aws:events:region:account:*

Contoh berikut menunjukkan cara menunjukkan aturan tertentu (myRule) dalam pernyataan Anda menggunakan ARN-nya.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Untuk menentukan semua aturan yang menjadi bagian dari akun tertentu dengan menggunakan tanda bintang (*) seperti berikut ini.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Untuk menentukan semua sumber daya, atau jika tindakan API tertentu tidak mendukung ARN, gunakan tanda bintang (*) dalam elemen Resource seperti berikut ini.

"Resource": "*"

Untuk menentukan beberapa sumber daya atau PutTargets dalam satu pernyataan, pisahkan ARN dengan koma seperti berikut ini

"Resource": ["arn1", "arn2"]

Kepemilikan sumber daya

Akun memiliki sumber daya di akun, tidak peduli siapa yang membuat sumber daya. Pemilik sumber daya adalah akun dari entitas utama, pengguna akar akun, pengguna IAM atau role yang mengautentikasi permintaan untuk membuat sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi pengguna akar akun untuk membuat aturan, akun Anda adalah pemilikEventBridge sumber daya tersebut.

  • Jika Anda membuat pengguna di akun Anda dan memberikan izin untuk membuatEventBridge sumber daya untuk pengguna tersebut, pengguna dapat membuatEventBridge sumber daya. Namun, akun Anda, yang memiliki pengguna, memilikiEventBridge sumber daya.

  • Jika Anda membuat IAM role di akun Anda dengan izin untuk membuatEventBridge sumber daya, siapa pun yang dapat mengambil peran tersebut dapat membuatEventBridge sumber daya. Akun Anda, yang mana peran tersebut dimiliki, memilikiEventBridge sumber daya.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan orang yang memiliki akses ke objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks EventBridge. Bagian ini tidak memberikan informasi detail tentang layanan IAM. Untuk dokumentasi lengkap IAM, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM dalam Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut kebijakan (kebijakan IAM) berbasis identitas dan kebijakan yang dilampirkan pada sumber daya disebut kebijakan berbasis sumber daya. DiEventBridge, Anda dapat menggunakan kebijakan berbasis identitas (kebijakan IAM) dan kebijakan berbasis sumber daya.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda — Untuk memberikan izin pengguna guna menampilkan aturan dalamCloudWatch konsol Amazon, lampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut.

  • Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator dalam akun A dapat membuat peran untuk memberikan izin lintas akun ke akun B lain atau layanan AWS sebagai berikut:

    1. Administrator akun A membuat IAM role dan melampirkan kebijakan izin untuk peran yang memberikan izin pada sumber daya di akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan pada akun identifikasi peran B sebagai prinsipal yang dapat menjalankan peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengasumsikan peran pada pengguna dalam akun B. Dengan melakukannya, pengguna dalam akun B dapat membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsip layanan AWS jika Anda ingin memberikan izin layanan AWS untuk menjalankan peran tersebut.

    Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Anda dapat membuat kebijakan IAM tertentu untuk membatasi panggilan dan sumber daya yang dapat diakses pengguna dalam akun Anda dan kemudian melampirkan kebijakan tersebut ke pengguna. Untuk informasi selengkapnya tentang cara membuat peran IAM dan untuk mengeksplorasi pernyataan kebijakan IAM untukEventBridge, lihatMengelola izin akses keEventBridge sumber daya Amazon Anda.

Kebijakan berbasis sumber daya (Kebijakan IAM)

Ketika aturan berjalanEventBridge, semua target yang terkait dengan aturan dipanggil, yang berarti memanggilAWS Lambda fungsi, menerbitkan ke topik Amazon SNS, atau menyampaikan peristiwa ke aliran Amazon Kinesis. Untuk membuat panggilan API pada sumber daya yang Anda miliki,EventBridge memerlukan izin yang sesuai. Untuk sumber daya Lambda, Amazon SNS, dan Amazon SQS,EventBridge gunakan kebijakan berbasis sumber daya. Untuk aliran Kinesis,EventBridge gunakan peran IAM.

Untuk informasi selengkapnya tentang cara membuat peran IAM dan untuk mengeksplorasi pernyataan kebijakan berbasis sumber dayaEventBridge, lihatMenggunakan kebijakan berbasis sumber daya untuk AmazonEventBridge.

Menentukan elemen kebijakan: tindakan, efek, dan prinsip

Untuk setiapEventBridge sumber daya,EventBridge menentukan serangkaian operasi API. Untuk memberikan izin bagi operasi API ini, EventBridge menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Beberapa operasi API memerlukan izin untuk lebih dari satu tindakan untuk melakukan operasi API. Untuk informasi selengkapnya tentang sumber daya dan operasi API, lihat Sumber daya EventBridge dan Referensi izin Amazon EventBridge.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber Daya – Gunakan Amazon Resource Name (ARN) (Amazon Resource Name (ARN)) untuk mengidentifikasi sumber daya yang mengikuti kebijakan tersebut. Untuk informasi selengkapnya, lihat Sumber daya EventBridge.

  • Tindakan – Gunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin events:Describe memungkinkan pengguna untuk melakukan operasi Describe.

  • Efek— Tentukan apakah izinkan atau tolak. Jika Anda tidak secara eksplisit memberikan akses ke (izinkan) sumber daya, akses akan ditolak. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Prinsipal – Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kebijakannya terlampir adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk informasi lebih lanjut tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM JSON dalam Panduan Pengguna IAM.

Untuk informasi tentang tindakanEventBridge API dan sumber daya yang diterapkan, lihatReferensi izin Amazon EventBridge.

Menetapkan ketentuan dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan akses untuk menentukan syarat ketika kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menetapkan syarat dalam bahasa kebijakan, lihat Syarat dalam Panduan Pengguna IAM.

Untuk menyatakan syarat, Anda menggunakan kunci syarat. Ada kunciAWS syarat dan kunciEventBridge tertentu yang dapat Anda gunakan sewajarnya. Untuk daftar lengkap kunci AWS, lihat Kunci yang Tersedia untuk Ketentuan dalam Panduan Pengguna IAM. Untuk daftar lengkap kunciEventBridge tertentu, lihatMenggunakan ketentuan kebijakan IAM ketentuan untuk kontrol akses yang sangat baik.