Menggunakan ketentuan kebijakan IAM ketentuan untuk kontrol akses yang sangat baik

Untuk memberikan izin, Anda menggunakan bahasa kebijakan IAM dalam pernyataan kebijakan untuk menetapkan ketentuan ketika kebijakan akan berlaku. Misalnya, Anda dapat memiliki kebijakan yang diterapkan hanya setelah tanggal tertentu.

Sebuah syarat dalam kebijakan terdiri dari pasangan nilai kunci. Kunci syarat tidak memedulikan huruf besar atau kecil.

Jika Anda menetapkan beberapa syarat atau kunci dalam satu ketentuan, semua ketentuan dan kunci harus dipenuhi EventBridge untuk memberikan izin. Jika Anda menetapkan satu syarat dengan beberapa nilai untuk satu kunci, EventBridge berikan izin jika salah satu nilai terpenuhi.

Anda juga dapat menggunakan placeholder atau variabel kebijakan saat menetapkan ketentuan. Untuk informasi selengkapnya, lihat Variabel Kebijakan dalam Panduan Pengguna IAM. Untuk informasi selengkapnya tentang menetapkan ketentuan dalam bahasa kebijakan IAM, lihat Syarat dalam Panduan Pengguna IAM.

Secara default, pengguna dan peran IAM tidak dapat mengaksesperistiwa di akun Anda. Untuk mengakses peristiwa, pengguna harus berwenang untuk PutRuletindakan API. Jika pengguna atau peran IAM diotorisasi untuk tindakan events:PutRule, mereka dapat membuat aturan yang cocok dengan peristiwa tertentu. Namun, agar aturan dapat digunakan, pengguna juga harus memiliki izin untukevents:PutTargets tindakan karena, jika Anda ingin aturan melakukan lebih dari publikasi CloudWatch metrik, Anda juga harus menambahkan target ke aturan.

Anda dapat memberikan syarat dalam pernyataan kebijakan peran atau pengguna IAM yang memungkinkan pengguna atau peran untuk membuat aturan yang hanya cocok dengan serangkaian sumber dan jenis peristiwa tertentu. Untuk memberikan akses ke sumber dan jenis peristiwa tertentu, gunakan events:source dan events:detail-type kunci syarat.

Demikian pula, Anda dapat memberikan syarat dalam pernyataan kebijakan pengguna atau peran IAM yang memungkinkan pengguna atau peran untuk membuat aturan yang hanya cocok dengan sumber daya tertentu di akun Anda. Untuk memberikan akses ke sumber daya tertentu, gunakan events:TargetArnkunci syarat.

Contoh berikut adalah kebijakan yang memungkinkan pengguna untuk mengakses semua peristiwa kecuali peristiwa Amazon EC2 dalam EventBridge menggunakan pernyataan tolak pada TindakanPutRule API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyPutRuleForAllEC2Events",
            "Effect": "Deny",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:source": "aws.ec2"
                }
            }
        }
    ]
}

EventBridge Kunci syarat

Tabel berikut menunjukkan kunci syarat dan pasangan kunci dan nilai yang dapat Anda gunakan dalam kebijakan EventBridge.

Kunci syarat	Pasangan nilai kunci	Jenis evaluasi
aws:SourceAccount	Akun di mana aturan yang ditetapkan oleh aws:SourceArn ada.	Account Id, Null
aws:SourceArn	ARN aturan yang mengirimkan acara tersebut.	ARN, Null
events:creatorAccount	"events:creatorAccount":"creatorAccount" Untuk creatorAccount, gunakan ID akun untuk akun yang membuat aturan. Gunakan syarat ini untuk mengesahkan panggilan API pada aturan dari akun tertentu.	creatorAccount, Null
events:detail-type	"events:detail-type":"detail-type " Di mana tipe detail adalah string literal untuk tipe detailbidang peristiwa seperti "AWS API Call via CloudTrail" dan "EC2 Instance State-change Notification".	Detail Type, Null
peristiwa: detail. eventTypeCode	"events:detail.eventTypeCode":"eventTypeCode" Untuk eventTypeCode, gunakan string literal untuk detailnya. eventTypeCodebidang acara, seperti"AWS_ABUSE_DOS_REPORT".	eventTypeCode, Null
Event: detail.service	"events:detail.service":"service" Untuk layanan, gunakan string literal untuk detail.servicebidang peristiwa, seperti "ABUSE".	service, Null
events: detail.userIdentity.principalId	"events:detail.userIdentity.principalId":"principal-id" Untuk id-utama, gunakan string literal untuk bidang Detail.userIdentity.PrincipalID peristiwa dengan tipe detail "AWS API Call via CloudTrail"seperti "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName.".	Principal Id, Null
peristiwa:eventBusInvocation	"events:eventBusInvocation":"boolean" Untuk boolean, gunakan BETUL ketika aturan mengirimkan peristiwa ke target yang merupakan bus peristiwa di akun lain. Gunakan SALAH ketika ketika PutEvents panggilan API digunakan.	eventBusInvocation, Null
peristiwa:ManagedBy	Digunakan secara internal oleh AWS layanan. Untuk aturan yang dibuat oleh AWS layanan atas nama Anda, nilainya adalah nama utama layanan yang membuat aturan.	Tidak dimaksudkan untuk digunakan dalam kebijakan pelanggan.
events:source	"events:source":"source " Gunakan sumber untuk string literal untuk bidang sumber peristiwa seperti"aws.ec2" atau "aws.s3". Untuk nilai yang lebih mungkin untuk sumber, lihat contoh peristiwa di Acara dari AWS layanan.	Source, Null
peristiwa:TargetArn	"events:TargetArn":"target-arn " Untuk target-arn, gunakan ARN target untuk aturan, misalnya"arn:aws:lambda:*:*:function:*".	ArrayOfARN, Null

Misalnya pernyataan kebijakan untuk EventBridge, lihatMengelola izin akses keEventBridge sumber daya Amazon Anda.

EventBridge Pipa spesifik

EventBridge Pipa tidak mendukung kunci kondisi kebijakan IAM tambahan.

Contoh: Menggunakan creatorAccount syarat

Contoh pernyataan kebijakan berikut menunjukkan cara menggunakan creatorAccount syarat dalam kebijakan untuk hanya mengizinkan aturan yang akan dibuat jika akun ditetapkan sebagaicreatorAccount adalah akun yang membuat aturan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleForOwnedRules",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "events:creatorAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Contoh: Menggunakan eventBusInvocation syarat

eventBusInvocation menunjukkan apakah permintaan berasal dari target lintas-akun atau PutEvents permintaan API. Nilai adalah BETUL ketika hasil permintaan dari aturan yang mencakup target lintas-akun, seperti ketika target adalah bus peristiwa di akun lain. Nilai adalah SALAH ketika hasil permintaan dari PutEvents permintaan API. Contoh berikut menunjukkan permintaan dari target lintas-akun.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCrossAccountInvocationEventsOnly",
      "Effect": "Allow",
      "Action": "events:PutEvents",
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "events:eventBusInvocation": "true"
        }
      }
    }
  ]
}

Contoh: Membatasi akses ke sumber tertentu

Contoh kebijakan berikut dapat disematkan ke pengguna IAM. Kebijakan A memungkinkan PutRule tindakan API untuk semua peristiwa, sementara Kebijakan B memungkinkan PutRule hanya jika pola peristiwa aturan yang dibuat cocok dengan peristiwa Amazon EC2.

Kebijakan A: memungkinkan semua peristiwa

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleForAllEvents",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*"
        }
    ]
    }

Kebijakan B: —memungkinkan peristiwa hanya dari Amazon EC2

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleForAllEC2Events",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:source": "aws.ec2"
                }
            }
        }
    ]
}

EventPattern adalah argumen wajib untuk PutRule. Oleh karena itu, jika pengguna dengan Kebijakan B memanggil PutRuledengan pola peristiwa seperti berikut ini.

{
    "source": [ "aws.ec2" ]
}

Aturan akan dibuat karena kebijakan memungkinkan untuk sumber khusus ini: yaitu, "aws.ec2". Namun, jika pengguna dengan Kebijakan B memanggil PutRule dengan pola peristiwa seperti berikut ini, pembuatan aturan akan ditolak karena kebijakan tidak mengizinkan sumber spesifik ini: yaitu, "aws.s3".

{
    "source": [ "aws.s3" ]
}

Pada dasarnya, pengguna dengan Kebijakan B hanya diperbolehkan untuk membuat aturan yang akan cocok dengan peristiwa yang berasal dari Amazon EC2; maka, mereka hanya diperbolehkan mengakses ke peristiwa dari Amazon EC2.

Lihat tabel berikut untuk perbandingan Kebijakan A dan Kebijakan B.

Pola Peristiwa	Diperbolehkan oleh Kebijakan A	Diperbolehkan oleh Kebijakan B
{ "source": [ "aws.ec2" ] }	Ya	Ya
{ "source": [ "aws.ec2", "aws.s3" ] }	Ya	Tidak (Sumber aws.s3 tidak diizinkan)
{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }	Ya	Ya
{ "detail-type": [ "EC2 Instance State-change Notification" ] }	Ya	Tidak (Sumber harus ditentukan)

Contoh: Mendefinisikan beberapa sumber yang dapat digunakan dalam pola peristiwa individual

Kebijakan berikut memungkinkan pengguna atau peran IAM untuk membuat aturan di mana sumber dalam EventPattern adalah Amazon EC2 atau Amazon ECS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleIfSourceIsEC2OrECS",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:source": [ "aws.ec2", "aws.ecs" ]
                }
            }
        }
    ]
}

Tabel berikut menunjukkan beberapa contoh pola peristiwa yang diizinkan atau ditolak oleh kebijakan ini.

Pola peristiwa	Diizinkan oleh kebijakan
{ "source": [ "aws.ec2" ] }	Ya
{ "source": [ "aws.ecs" ] }	Ya
{ "source": [ "aws.s3" ] }	Tidak
{ "source": [ "aws.ec2", "aws.ecs" ] }	Tidak
{ "detail-type": [ "AWS API Call via CloudTrail" ] }	Tidak

Contoh: Mendefinisikan sumber dan DetailType yang dapat digunakan dalam pola peristiwa

Kebijakan berikut memungkinkan peristiwa hanya dari aws.ec2 sumber dengan DetailType sama dengan EC2 instance state change notification.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleIfSourceIsEC2AndDetailTypeIsInstanceStateChangeNotification",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:source": "aws.ec2",
                    "events:detail-type": "EC2 Instance State-change Notification"
                }
            }
        }
    ]
}

Tabel berikut menunjukkan beberapa contoh pola peristiwa yang diizinkan atau ditolak oleh kebijakan ini.

Pola peristiwa	Diizinkan oleh kebijakan
{ "source": [ "aws.ec2" ] }	Tidak
{ "source": [ "aws.ecs" ] }	Tidak
{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }	Ya
{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance Health Failed" ] }	Tidak
{ "detail-type": [ "EC2 Instance State-change Notification" ] }	Tidak

Contoh: Memastikan bahwa sumber didefinisikan dalam pola peristiwa

Kebijakan berikut memungkinkan pengguna untuk hanya membuat aturan dengan EventPatterns yang memiliki bidang sumber. Dengan kebijakan ini, pengguna atau peran IAM tidak dapat membuat aturan dengan EventPattern yang tidak menyediakan sumber tertentu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleIfSourceIsSpecified",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "events:source": "false"
                }
            }
        }
    ]
}

Tabel berikut menunjukkan beberapa contoh pola peristiwa yang diizinkan atau ditolak oleh kebijakan ini.

Pola Peristiwa	Diperbolehkan oleh Kebijakan
{ "source": [ "aws.ec2" ], "detail-type": [ "EC2 Instance State-change Notification" ] }	Ya
{ "source": [ "aws.ecs", "aws.ec2" ] }	Ya
{ "detail-type": [ "EC2 Instance State-change Notification" ] }	Tidak

Contoh: Mendefinisikan daftar sumber yang diperbolehkan dalam pola peristiwa dengan beberapa sumber

Kebijakan berikut memungkinkan pengguna untuk membuat aturan dengan EventPatterns yang memiliki banyak sumber di dalamnya. Setiap sumber dalam pola peristiwa harus menjadi anggota dari daftar yang disediakan dalam syarat tersebut. Ketika Anda menggunakanForAllValues syarat, pastikan bahwa setidaknya salah satu item dalam daftar syarat didefinisikan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "events:source": [ "aws.ec2", "aws.s3" ]
                },
                "Null": {
                    "events:source": "false"
                }
            }
        }
    ]
}

Tabel berikut menunjukkan beberapa contoh pola peristiwa yang diizinkan atau ditolak oleh kebijakan ini.

Pola Peristiwa	Diperbolehkan oleh Kebijakan
{ "source": [ "aws.ec2" ] }	Ya
{ "source": [ "aws.ec2", "aws.s3" ] }	Ya
{ "source": [ "aws.ec2", "aws.autoscaling" ] }	Tidak
{ "detail-type": [ "EC2 Instance State-change Notification" ] }	Tidak

Contoh: Membatasi PutRule akses oleh detail.service

Anda dapat membatasi pengguna atau peran IAM untuk membuat aturan hanya untuk peristiwa yang memiliki nilai tertentu dalam events:details.servicebidang. Nilai dari events:details.service belum tentu nama AWS layanan.

Syarat kebijakan ini sangat membantu ketika Anda bekerja dengan peristiwa dari AWS Health yang berhubungan dengan keamanan atau penyalahgunaan. Dengan menggunakan syarat kebijakan ini, Anda dapat membatasi akses ke peringatan sensitif ini hanya untuk pengguna yang perlu melihatnya.

Sebagai contoh, kebijakan berikut memungkinkan pembuatan aturan hanya untuk peristiwa di mana nilai events:details.service adalah ABUSE.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleEventsWithDetailServiceEC2",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:detail.service": "ABUSE"
                }
            }
        }
    ]
}

Contoh: Membatasi PutRule akses oleh detail.eventTypeCode

Anda dapat membatasi pengguna atau peran IAM untuk membuat aturan hanya untuk peristiwa yang memiliki nilai tertentu dalam events:details.eventTypeCodebidang. Syarat kebijakan ini sangat membantu ketika Anda bekerja dengan peristiwa dari AWS Health yang berhubungan dengan keamanan atau penyalahgunaan. Dengan menggunakan syarat kebijakan ini, Anda dapat membatasi akses ke peringatan sensitif ini hanya untuk pengguna yang perlu melihatnya.

Sebagai contoh, kebijakan berikut memungkinkan pembuatan aturan hanya untuk peristiwa di mana nilai events:details.eventTypeCode adalah AWS_ABUSE_DOS_REPORT.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleEventsWithDetailServiceEC2",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT"
                }
            }
        }
    ]
}

Contoh: Memastikan bahwa hanya AWS CloudTrail peristiwa untuk panggilan API dari PrincipalId yang diizinkan

SemuaAWS CloudTrail peristiwa memiliki pengguna yang membuat panggilan API didetail.userIdentity.principalId jalur peristiwa. PrincipalId Menggunakan kuncievents:detail.userIdentity.principalId syarat, Anda dapat membatasi akses pengguna atau peran IAM ke CloudTrail peristiwa hanya untuk pengguna yang berasal dari akun tertentu.

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser",
            "Effect": "Allow",
            "Action": "events:PutRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:detail-type": [ "AWS API Call via CloudTrail" ],
                    "events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
                }
            }
        }
    ]
}

Tabel berikut menunjukkan beberapa contoh pola peristiwa yang diizinkan atau ditolak oleh kebijakan ini.

Pola peristiwa	Diizinkan oleh kebijakan
{ "detail-type": [ "AWS API Call via CloudTrail" ] }	Tidak
{ "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ] }	Ya
{ "detail-type": [ "AWS API Call via CloudTrail" ], "detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ] }	Tidak

Contoh: Membatasi akses ke target

Jika pengguna atau peran IAM memiliki events:PutTargets izin, mereka dapat menambahkan target apa pun dalam akun yang sama dengan aturan yang diizinkan untuk diakses. Kebijakan berikut membatasi pengguna untuk menambahkan target hanya untuk aturan tertentu: MyRule dalam akun 123456789012.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutTargetsOnASpecificRule",
            "Effect": "Allow",
            "Action": "events:PutTargets",
            "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule"
        }
    ]
}

Untuk membatasi target apa yang dapat ditambahkan ke aturan, gunakan events:TargetArn kunci syarat. Anda dapat membatasi target hanya untuk fungsi Lambda, seperti dalam contoh berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions",
            "Effect": "Allow",
            "Action": "events:PutTargets",
            "Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule",
            "Condition": {
                "ArnLike": {
                    "events:TargetArn": "arn:aws:lambda:*:*:function:*"
                }
            }
        }
    ]
}