Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon EventBridge
Kebijakan berbasis identitas adalah kebijakan izin yang Anda lampirkan ke identitas IAM.
Topik
AWS kebijakan terkelola untuk EventBridge
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola, atau yang ditentukan sebelumnya memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin yang diperlukan. Untuk informasi lebih lanjut, lihat AWS kebijakan terkelola dalam Panduan Pengguna IAM.
Kebijakan AWS terkelola berikut yang dapat Anda lampirkan ke pengguna di akun Anda khusus untuk EventBridge:
-
AmazonEventBridgeFullAccess— Memberikan akses penuh ke EventBridge, termasuk EventBridge Pipa, EventBridge Skema, dan EventBridge Penjadwal.
-
AmazonEventBridgeReadOnlyAccess— Memberikan akses hanya-baca ke EventBridge, termasuk EventBridge Pipa, EventBridge Skema, dan Penjadwal. EventBridge
AmazonEventBridgeFullAccess kebijakan
AmazonEventBridgeFullAccess Kebijakan ini memberikan izin untuk menggunakan semua EventBridge tindakan, serta izin berikut:
-
iam:CreateServiceLinkedRole— EventBridge memerlukan izin ini untuk membuat peran layanan di akun Anda untuk tujuan API. Izin ini hanya memberikan izin layanan IAM untuk membuat peran dalam akun Anda khusus untuk tujuan API. -
iam:PassRole— EventBridge memerlukan izin ini untuk meneruskan peran pemanggilan EventBridge untuk memanggil target aturan. -
Izin Secrets Manager — EventBridge memerlukan izin ini untuk mengelola rahasia di akun Anda saat Anda memberikan kredensi melalui sumber daya koneksi untuk mengotorisasi Tujuan API.
JSON berikut menunjukkan AmazonEventBridgeFullAccess kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
catatan
Informasi dalam bagian ini juga berlaku untuk CloudWatchEventsFullAccess kebijakan. Namun, sangat disarankan agar Anda menggunakan Amazon EventBridge alih-alih Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess kebijakan
AmazonEventBridgeReadOnlyAccess Kebijakan ini memberikan izin untuk menggunakan semua tindakan yang telah dibaca EventBridge .
JSON berikut menunjukkan AmazonEventBridgeReadOnlyAccess kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
catatan
Informasi dalam bagian ini juga berlaku untuk CloudWatchEventsReadOnlyAccess kebijakan. Namun, sangat disarankan agar Anda menggunakan Amazon EventBridge alih-alih Amazon CloudWatch Events.
EventBridge Kebijakan terkelola khusus skema
Skema mendefinisikan struktur peristiwa yang dikirim ke. EventBridge EventBridge menyediakan skema untuk semua acara yang dihasilkan oleh AWS layanan. Kebijakan AWS terkelola berikut khusus untuk EventBridge Skema tersedia:
EventBridge Kebijakan terkelola khusus penjadwal
Amazon EventBridge Scheduler adalah penjadwal tanpa server yang memungkinkan Anda membuat, menjalankan, dan mengelola tugas dari satu layanan terpusat dan terkelola. Untuk kebijakan AWS terkelola yang khusus untuk EventBridge Penjadwal, lihat kebijakan AWS terkelola untuk EventBridge Penjadwal di Panduan Pengguna EventBridge Penjadwal.
EventBridge Kebijakan terkelola khusus pipa
Amazon EventBridge Pipes menghubungkan sumber peristiwa ke target. Pipa mengurangi kebutuhan akan pengetahuan khusus dan kode integrasi saat mengembangkan arsitektur berbasis acara. Ini membantu memastikan konsistensi di seluruh aplikasi perusahaan Anda. Kebijakan AWS terkelola berikut khusus untuk EventBridge Pipa tersedia:
AmazonEventBridgePipesFullAccess
Menyediakan akses penuh ke Amazon EventBridge Pipes.
catatan
Kebijakan ini menyediakan
iam:PassRole— EventBridge Pipes memerlukan izin ini untuk meneruskan peran pemanggilan EventBridge untuk membuat, dan memulai pipa.AmazonEventBridgePipesReadOnlyAccess
Menyediakan akses hanya-baca ke Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Menyediakan akses read-only dan operator (yaitu, kemampuan untuk menghentikan dan mulai menjalankan Pipes) ke Amazon EventBridge Pipes.
Peran IAM untuk mengirim peristiwa
Untuk menyampaikan peristiwa ke target, EventBridge membutuhkan peran IAM.
Untuk membuat peran IAM untuk mengirim acara ke EventBridge
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Untuk membuat peran IAM, ikuti langkah-langkah dalam Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM. Saat Anda mengikuti langkah-langkahnya, lakukan hal berikut:
-
Dalam Nama Peran, gunakan nama yang unik dalam akun Anda.
-
Di Pilih Jenis Peran, pilih Peran AWS Layanan, lalu pilih Amazon EventBridge. Ini memberikan EventBridge izin untuk mengambil peran.
-
Di Lampirkan Kebijakan, pilih AmazonEventBridgeFullAccess.
-
Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin EventBridge tindakan dan sumber daya. Anda dapat melampirkan kebijakan-kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin-izin tersebut. Untuk informasi lebih lanjut tentang kebijakan IAM, lihat Gambaran umum Kebijakan IAM dalam Panduan Pengguna IAM. Untuk informasi selengkapnya tentang pengelolaan dan pembuatan kebijakan IAM khusus, lihat Mengelola Kebijakan IAM dalam Panduan Pengguna IAM.
Izin yang diperlukan EventBridge untuk mengakses target menggunakan peran IAM
EventBridge target biasanya memerlukan peran IAM yang memberikan izin EventBridge untuk memanggil target. Berikut ini adalah beberapa contoh untuk berbagai AWS layanan dan target. Bagi yang lain, gunakan EventBridge konsol untuk membuat Aturan dan membuat Peran baru yang akan dibuat dengan kebijakan dengan izin tercakup dengan baik yang telah dikonfigurasi sebelumnya.
Amazon SQS, Amazon SNS, Lambda, CloudWatch Lambda EventBridge , dan target bus tidak menggunakan peran, dan EventBridge izin harus diberikan melalui kebijakan sumber daya. Target API Gateway dapat menggunakan kebijakan sumber daya atau peran IAM.
Jika target adalah tujuan API, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Jika target adalah pengaliran Kinesis, peran yang digunakan untuk mengirim data peristiwa ke target tersebut harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Jika target adalah Systems Manager run command, dan Anda menentukan satu atau lebih nilai InstanceIds untuk perintah, peran yang Anda tentukan harus mencakup kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Jika target adalah Systems Manager run command, dan Anda menentukan satu atau lebih tag untuk perintah, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Jika targetnya adalah mesin AWS Step Functions status, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Jika target adalah tugas Amazon ECS, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
Kebijakan berikut memungkinkan target bawaan EventBridge untuk melakukan tindakan Amazon EC2 atas nama Anda. Anda perlu menggunakan AWS Management Console untuk membuat aturan dengan target bawaan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
Kebijakan berikut memungkinkan EventBridge untuk menyampaikan peristiwa ke aliran Kinesis di akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Contoh kebijakan yang dikelola pelanggan: Menggunakan penandaan untuk mengontrol akses ke aturan
Contoh berikut menunjukkan kebijakan pengguna yang memberikan izin untuk EventBridge tindakan. Kebijakan ini berfungsi saat Anda menggunakan EventBridge API, AWS SDK, atau. AWS CLI
Anda dapat memberi pengguna akses ke EventBridge aturan tertentu sambil mencegah mereka mengakses aturan lain. Untuk melakukannya, Anda tandai kedua set aturan dan kemudian gunakan kebijakan IAM yang merujuk ke tag tersebut. Untuk informasi selengkapnya tentang menandai EventBridge sumber daya, lihat EventBridge Tag Amazon.
Anda dapat memberikan kebijakan IAM untuk pengguna untuk mengizinkan akses ke hanya aturan dengan tanda tertentu. Anda memilih aturan untuk memberikan akses ke dengan memberi menandai mereka dengan tanda tertentu. Sebagai contoh, kebijakan berikut memberikan akses pengguna ke aturan dengan nilai Prod untuk kunci tandaStack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Untuk informasi selengkapnya tentang menggunakan pernyataan kebijakan IAM, lihat Mengontrol Akses Menggunakan Kebijakan di Panduan Pengguna IAM.
Amazon EventBridge memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola EventBridge sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat EventBridge dokumen.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AmazonEventBridgeFullAccess— Kebijakan yang diperbarui |
AWS GovCloud (US) Regions hanya Izin berikut tidak termasuk, karena tidak digunakan:
|
9 Mei 2024 |
|
AmazonEventBridgeSchemasFullAccess— Kebijakan yang diperbarui |
AWS GovCloud (US) Regions hanya Izin berikut tidak termasuk, karena tidak digunakan:
|
9 Mei 2024 |
|
AmazonEventBridgePipesFullAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin penuh untuk menggunakan EventBridge Pipes. |
Desember 1, 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin untuk melihat sumber informasi EventBridge Pipes. |
Desember 1, 2022 |
|
AmazonEventBridgePipesOperatorAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin untuk melihat informasi EventBridge Pipa, serta memulai dan menghentikan pipa yang sedang berjalan. |
Desember 1, 2022 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan izin yang diperlukan untuk menggunakan fitur EventBridge Pipa. |
Desember 1, 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat sumber informasi EventBridge Pipa. Tindakan berikut ditambahkan:
|
Desember 1, 2022 |
|
CloudWatchEventsReadOnlyAccess – Pembaruan ke kebijakan yang ada |
Diperbarui agar cocok AmazonEventBridgeReadOnlyAccess. |
Desember 1, 2022 |
|
CloudWatchEventsFullAccess – Pembaruan ke kebijakan yang ada |
Diperbarui agar cocok AmazonEventBridgeFullAccess. |
Desember 1, 2022 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan izin yang diperlukan untuk menggunakan skema dan fitur penjadwal. Izin berikut ditambahkan:
|
10 November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat skema dan sumber informasi penjadwal. Tindakan berikut ditambahkan:
|
10 November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat informasi titik akhir. Tindakan berikut ditambahkan:
|
7 April 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat koneksi dan informasi tujuan API. Tindakan berikut ditambahkan:
|
4 Maret 2021 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan Tindakan berikut ditambahkan:
|
4 Maret 2021 |
|
EventBridge mulai melacak perubahan |
EventBridge mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
4 Maret 2021 |
