Kebijakan berbasis sumber daya untuk skema Amazon EventBridge

Registri skema EventBridge mendukung kebijakan berbasis sumber daya. Suatu kebijakan berbasis sumber dayaadalah kebijakan yang melekat pada sumber daya, bukan identitas IAM. Misalnya, di Amazon Simple Storage Service (Amazon S3), kebijakan sumber daya melekat pada bucket Amazon S3.

Untuk informasi selengkapnya tentang Skema EventBridge dan kebijakan berbasis sumber daya, lihat hal berikut.

• Referensi REST API Skema Amazon EventBridge

• Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya dalam Panduan Pengguna IAM

API yang didukung untuk kebijakan berbasis sumber daya

Anda dapat menggunakan API berikut dengan kebijakan berbasis sumber daya untuk registri skema EventBridge.

• DescribeRegistry

• UpdateRegistry

• DeleteRegistry

• ListSchemas

• SearchSchemas

• DescribeSchema

• CreateSchema

• DeleteSchema

• UpdateSchema

• ListSchemaVersions

• DeleteSchemaVersion

• DescribeCodeBinding

• GetCodeBindingSource

• PutCodeBinding

Contoh kebijakan yang memberikan semua tindakan yang didukung ke AWS akun

Untuk registri skema EventBridge, Anda harus selalu melampirkan kebijakan berbasis sumber daya ke registri. Untuk memberikan akses ke skema, Anda menentukan ARN skema dan ARN registri dalam kebijakan.

Untuk memberikan akses pengguna ke semua API yang tersedia untuk Skema EventBridge, gunakan kebijakan yang mirip dengan berikut ini, yang menggantikan "Principal" dengan ID akun dari akun yang ingin Anda berikan akses.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": {
                "AWS": [
                    "109876543210" 
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Contoh kebijakan yang memberikan tindakan hanya-baca ke AWS akun

Contoh berikut memberikan akses ke akun hanya untuk API hanya-baca untuk skema EventBridge.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:DescribeRegistry",
                "schemas:ListSchemas",
                "schemas:SearchSchemas",
                "schemas:DescribeSchema",
                "schemas:ListSchemaVersions",
                "schemas:DescribeCodeBinding",
                "schemas:GetCodeBindingSource"
            ],
            "Principal": {
                "AWS": [
                    "109876543210"
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Contoh kebijakan yang memberikan semua tindakan untuk organisasi

Anda dapat menggunakan kebijakan berbasis sumber daya dengan registri skema EventBridge untuk memberikan akses ke organisasi. Untuk informasi selengkapnya, lihat AWS Organizations Panduan Pengguna . Contoh berikut memberikan ID o-a1b2c3d4e5 akses ke registri skema kepada organisasi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": "*",
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-a1b2c3d4e5"
                    ]
                }
            }
        }
    ]
}