Autorizzazioni per accedere agli obiettivi Esempio di policy gestita dal cliente

Ruoli IAM per l'invio di eventi a destinazioni in Amazon EventBridge

Per inoltrare gli eventi agli obiettivi, è EventBridge necessario un ruolo IAM.

Per creare un ruolo IAM per l'invio di eventi a EventBridge

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Per creare un ruolo IAM, segui i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente IAM. e prendi nota di quanto segue:
- In Nome ruolo, utilizza un nome univoco nel tuo account.
- In Seleziona tipo di ruolo, scegli Ruoli di AWS servizio, quindi scegli Amazon EventBridge. Ciò concede EventBridge le autorizzazioni per assumere il ruolo.
- In Allega politica, scegli. AmazonEventBridgeFullAccess

Puoi anche creare policy IAM personalizzate per consentire EventBridge autorizzazioni per azioni e risorse. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Per ulteriori informazioni sulle policy IAM, consulta Panoramica delle policy IAM nella Guida per l'utente di IAM. Per ulteriori informazioni sulla gestione e sulla creazione di policy IAM personalizzate, consulta Gestione di policy IAM nella Guida per l'utente di IAM.

Autorizzazioni necessarie per accedere EventBridge agli obiettivi utilizzando i ruoli IAM

EventBridge gli obiettivi in genere richiedono ruoli IAM che concedono l'autorizzazione EventBridge a richiamare l'obiettivo. Di seguito sono riportati alcuni esempi di vari AWS servizi e destinazioni. Per gli altri, usa la EventBridge console per creare una regola e creare un nuovo ruolo che verrà creato con una politica con autorizzazioni ben definite preconfigurate.

Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs EventBridge e le destinazioni bus non utilizzano ruoli e le EventBridge autorizzazioni devono essere concesse tramite una politica delle risorse. Le destinazioni di Gateway API possono utilizzare policy basate su risorse o ruoli IAM.

Destinazioni API

Se la destinazione è una destinazione API, il ruolo specificato deve includere una policy con la seguente dichiarazione:

Effetto: Allow
Operazione: events:InvokeApiDestination
Risorsa: arn:aws:events:*:*:api-destination/*

Flussi Kinesis

Se la destinazione è un flusso Kinesis, il ruolo utilizzato per inviare i dati degli eventi a tale destinazione deve includere una policy con la seguente dichiarazione:

Effetto: Allow
Operazione: kinesis:PutRecord
Risorsa: *

Systems Manager esegue i comandi

Se la destinazione è Systems Manager run command e si specificano uno o più InstanceIds valori per il comando, il ruolo specificato deve includere una policy con la seguente dichiarazione:

Effetto: Allow
Operazione: ssm:SendCommand
Risorse: arn:aws:ec2:us-east-1:accountId:instance/instanceIds, arn:aws:ssm:us-east-1:*:document/documentName

Se la destinazione è Systems Manager run command e si specificano uno o più tag per il comando, il ruolo specificato deve includere una policy con le due azioni seguenti:

Effetto: Allow
Operazione: ssm:SendCommand
Risorse: arn:aws:ec2::accountId:instance/*

Condizione:


"StringEquals": {
  "ec2:ResourceTag/*": [
    "[[tagValues]]"
  ]
}

Effetto: Allow
Operazione: ssm:SendCommand
Risorse: arn:aws:ssm:us-east-1:*:document/documentName

Macchine a stati di Step Functions

Se la destinazione è una macchina a AWS Step Functions stati, il ruolo specificato deve includere una politica con quanto segue:

Effetto: Allow
Operazione: states:StartExecution
Risorsa: arn:aws:states:*:*:stateMachine:*

Attività di Amazon ECS

Se la destinazione è un'attività Amazon ECS, il ruolo specificato deve includere la policy seguente.

La seguente politica consente agli obiettivi integrati EventBridge di eseguire EC2 azioni Amazon per tuo conto. Devi utilizzare il per AWS Management Console creare regole con obiettivi predefiniti.

La seguente politica consente di EventBridge inoltrare gli eventi agli stream Kinesis del tuo account.

Esempio di policy gestita dal cliente: utilizzo di tag per controllare l'accesso alle regole

L'esempio seguente mostra una politica utente che concede le autorizzazioni per le azioni. EventBridge Questa politica funziona quando si utilizza l' EventBridge API o AWS SDKs il AWS CLI.

Puoi concedere agli utenti l'accesso a EventBridge regole specifiche impedendo loro di accedere ad altre regole. A tale scopo, applichi tag a entrambi i set di regole e usi le policy IAM che fanno riferimento a tali tag. Per ulteriori informazioni sull'etichettatura EventBridge delle risorse, consultaEtichettare le risorse in Amazon EventBridge.

Puoi concedere una policy IAM a un utente per consentirgli di accedere unicamente alle regole con un determinato tag. Puoi scegliere a quali regole concedere l'accesso contrassegnandole con quel particolare tag. Ad esempio, la seguente policy garantisce a un utente l'accesso alle regole con il valore Prod per la chiave di tag Stack.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "events:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Stack": "Prod"
                }
            }
        }
    ]
}

Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta Controllo dell'accesso tramite le policy nella Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di policy basate su identità

Utilizzo delle policy basate su risorse