Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Amazon EventBridge
Kebijakan berbasis identitas adalah kebijakan izin yang dapat Anda lampirkan ke identitas. IAM
AWS kebijakan terkelola untuk EventBridge
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola, atau yang ditentukan sebelumnya memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.
Kebijakan AWS terkelola berikut yang dapat Anda lampirkan ke pengguna di akun Anda khusus untuk EventBridge:
-
AmazonEventBridgeFullAccess— Memberikan akses penuh ke EventBridge, termasuk EventBridge Pipa, EventBridge Skema, dan EventBridge Penjadwal.
-
AmazonEventBridgeReadOnlyAccess— Memberikan akses hanya-baca ke EventBridge, termasuk EventBridge Pipa, EventBridge Skema, dan Penjadwal. EventBridge
AmazonEventBridgeFullAccess kebijakan
AmazonEventBridgeFullAccess Kebijakan ini memberikan izin untuk menggunakan semua EventBridge tindakan, serta izin berikut:
-
iam:CreateServiceLinkedRole— EventBridge memerlukan izin ini untuk membuat peran layanan di akun Anda untuk API tujuan. Izin ini hanya memberikan izin IAM layanan untuk membuat peran di akun Anda khusus untuk API tujuan. -
iam:PassRole— EventBridge memerlukan izin ini untuk meneruskan peran pemanggilan EventBridge untuk memanggil target aturan. -
Izin Secrets Manager — EventBridge memerlukan izin ini untuk mengelola rahasia di akun Anda saat Anda memberikan kredensi melalui sumber daya koneksi untuk mengotorisasi Destinasi. API
Berikut ini JSON menunjukkan AmazonEventBridgeFullAccess kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
catatan
Informasi dalam bagian ini juga berlaku untuk CloudWatchEventsFullAccess kebijakan. Namun, sangat disarankan agar Anda menggunakan Amazon EventBridge alih-alih Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess kebijakan
AmazonEventBridgeReadOnlyAccess Kebijakan ini memberikan izin untuk menggunakan semua tindakan yang telah dibaca EventBridge .
Berikut ini JSON menunjukkan AmazonEventBridgeReadOnlyAccess kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
catatan
Informasi dalam bagian ini juga berlaku untuk CloudWatchEventsReadOnlyAccess kebijakan. Namun, sangat disarankan agar Anda menggunakan Amazon EventBridge alih-alih Amazon CloudWatch Events.
EventBridge Kebijakan terkelola khusus skema
Skema mendefinisikan struktur peristiwa yang dikirim ke. EventBridge EventBridge menyediakan skema untuk semua acara yang dihasilkan oleh AWS layanan. Kebijakan AWS terkelola berikut khusus untuk EventBridge Skema tersedia:
EventBridge Kebijakan terkelola khusus penjadwal
Amazon EventBridge Scheduler adalah penjadwal tanpa server yang memungkinkan Anda membuat, menjalankan, dan mengelola tugas dari satu layanan terpusat dan terkelola. Untuk kebijakan AWS terkelola yang khusus untuk EventBridge Penjadwal, lihat kebijakan AWS terkelola untuk EventBridge Penjadwal di Panduan Pengguna EventBridge Penjadwal.
EventBridge Kebijakan terkelola khusus pipa
Amazon EventBridge Pipes menghubungkan sumber peristiwa ke target. Pipa mengurangi kebutuhan akan pengetahuan khusus dan kode integrasi saat mengembangkan arsitektur berbasis acara. Ini membantu memastikan konsistensi di seluruh aplikasi perusahaan Anda. Kebijakan AWS terkelola berikut khusus untuk EventBridge Pipa tersedia:
AmazonEventBridgePipesFullAccess
Menyediakan akses penuh ke Amazon EventBridge Pipes.
catatan
Kebijakan ini menyediakan
iam:PassRole— EventBridge Pipes memerlukan izin ini untuk meneruskan peran pemanggilan EventBridge untuk membuat, dan memulai pipa.AmazonEventBridgePipesReadOnlyAccess
Menyediakan akses hanya-baca ke Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Menyediakan akses read-only dan operator (yaitu, kemampuan untuk menghentikan dan mulai menjalankan Pipes) ke Amazon EventBridge Pipes.
IAMperan untuk mengirim acara
Untuk menyampaikan peristiwa ke target, EventBridge perlu IAM peran.
Untuk membuat IAM peran untuk mengirim acara ke EventBridge
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Untuk membuat IAM peran, ikuti langkah-langkah dalam Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di IAMPanduan Pengguna. Saat Anda mengikuti langkah-langkahnya, lakukan hal berikut:
-
Dalam Nama Peran, gunakan nama yang unik dalam akun Anda.
-
Di Pilih Jenis Peran, pilih Peran AWS Layanan, lalu pilih Amazon EventBridge. Ini memberikan EventBridge izin untuk mengambil peran.
-
Di Lampirkan Kebijakan, pilih AmazonEventBridgeFullAccess.
-
Anda juga dapat membuat IAM kebijakan kustom sendiri untuk mengizinkan izin EventBridge tindakan dan sumber daya. Anda dapat melampirkan kebijakan khusus ini ke IAM pengguna atau grup yang memerlukan izin tersebut. Untuk informasi selengkapnya tentang IAM kebijakan, lihat Ringkasan IAM Kebijakan di Panduan IAM Pengguna. Untuk informasi selengkapnya tentang mengelola dan membuat IAM kebijakan khusus, lihat Mengelola IAM Kebijakan di Panduan IAM Pengguna.
Izin yang diperlukan EventBridge untuk mengakses target menggunakan peran IAM
EventBridge target biasanya memerlukan IAM peran yang memberikan izin EventBridge untuk memanggil target. Berikut ini adalah beberapa contoh untuk berbagai AWS layanan dan target. Bagi yang lain, gunakan EventBridge konsol untuk membuat Aturan dan membuat Peran baru yang akan dibuat dengan kebijakan dengan izin tercakup dengan baik yang telah dikonfigurasi sebelumnya.
Target Amazon SQSSNS, Amazon, Lambda, CloudWatch Log, dan EventBridge bus tidak menggunakan peran, dan izin EventBridge harus diberikan melalui kebijakan sumber daya. APITarget gateway dapat menggunakan kebijakan atau IAM peran sumber daya.
Jika target adalah API tujuan, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Jika target adalah pengaliran Kinesis, peran yang digunakan untuk mengirim data peristiwa ke target tersebut harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Jika target adalah Systems Manager run command, dan Anda menentukan satu atau lebih nilai InstanceIds untuk perintah, peran yang Anda tentukan harus mencakup kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Jika target adalah Systems Manager run command, dan Anda menentukan satu atau lebih tag untuk perintah, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Jika targetnya adalah mesin AWS Step Functions status, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Jika targetnya adalah ECS tugas Amazon, peran yang Anda tentukan harus menyertakan kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
Kebijakan berikut memungkinkan target bawaan EventBridge untuk melakukan EC2 tindakan Amazon atas nama Anda. Anda perlu menggunakan AWS Management Console untuk membuat aturan dengan target bawaan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
Kebijakan berikut memungkinkan EventBridge untuk menyampaikan peristiwa ke aliran Kinesis di akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Contoh kebijakan yang dikelola pelanggan: Menggunakan penandaan untuk mengontrol akses ke aturan
Contoh berikut menunjukkan kebijakan pengguna yang memberikan izin untuk EventBridge tindakan. Kebijakan ini berfungsi saat Anda menggunakan EventBridge API AWS SDKs,, atau AWS CLI.
Anda dapat memberi pengguna akses ke EventBridge aturan tertentu sambil mencegah mereka mengakses aturan lain. Untuk melakukannya, Anda menandai kedua set aturan dan kemudian menggunakan IAM kebijakan yang merujuk ke tag tersebut. Untuk informasi selengkapnya tentang menandai EventBridge sumber daya, lihatMenandai sumber daya di Amazon EventBridge.
Anda dapat memberikan IAM kebijakan kepada pengguna untuk mengizinkan akses hanya ke aturan dengan tag tertentu. Anda memilih aturan untuk memberikan akses ke dengan memberi menandai mereka dengan tanda tertentu. Sebagai contoh, kebijakan berikut memberikan akses pengguna ke aturan dengan nilai Prod untuk kunci tandaStack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Untuk informasi selengkapnya tentang menggunakan pernyataan IAM kebijakan, lihat Mengontrol Akses Menggunakan Kebijakan di Panduan IAM Pengguna.
Amazon EventBridge memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola EventBridge sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat EventBridge dokumen.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AmazonEventBridgeFullAccess— Kebijakan yang diperbarui |
AWS GovCloud (US) Regions hanya Izin berikut tidak termasuk, karena tidak digunakan:
|
9 Mei 2024 |
|
AmazonEventBridgeSchemasFullAccess— Kebijakan yang diperbarui |
AWS GovCloud (US) Regions hanya Izin berikut tidak termasuk, karena tidak digunakan:
|
9 Mei 2024 |
|
AmazonEventBridgePipesFullAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin penuh untuk menggunakan EventBridge Pipes. |
Desember 1, 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin untuk melihat sumber informasi EventBridge Pipes. |
Desember 1, 2022 |
|
AmazonEventBridgePipesOperatorAccess— Kebijakan baru ditambahkan |
EventBridge menambahkan kebijakan terkelola untuk izin untuk melihat informasi EventBridge Pipa, serta memulai dan menghentikan pipa yang sedang berjalan. |
Desember 1, 2022 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan izin yang diperlukan untuk menggunakan fitur EventBridge Pipa. |
Desember 1, 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat sumber informasi EventBridge Pipa. Tindakan berikut ditambahkan:
|
Desember 1, 2022 |
|
CloudWatchEventsReadOnlyAccess – Pembaruan ke kebijakan yang ada |
Diperbarui agar cocok AmazonEventBridgeReadOnlyAccess. |
Desember 1, 2022 |
|
CloudWatchEventsFullAccess – Pembaruan ke kebijakan yang ada |
Diperbarui agar cocok AmazonEventBridgeFullAccess. |
Desember 1, 2022 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan izin yang diperlukan untuk menggunakan skema dan fitur penjadwal. Izin berikut ditambahkan:
|
10 November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat skema dan sumber informasi penjadwal. Tindakan berikut ditambahkan:
|
10 November 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat informasi titik akhir. Tindakan berikut ditambahkan:
|
7 April 2022 |
|
AmazonEventBridgeReadOnlyAccess – Pembaruan ke kebijakan yang ada |
EventBridge menambahkan izin yang diperlukan untuk melihat koneksi dan informasi API tujuan. Tindakan berikut ditambahkan:
|
4 Maret 2021 |
|
AmazonEventBridgeFullAccess – Pembaruan ke kebijakan yang ada |
EventBridge memperbarui kebijakan untuk menyertakan Tindakan berikut ditambahkan:
|
4 Maret 2021 |
|
EventBridge mulai melacak perubahan |
EventBridge mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
4 Maret 2021 |
