Politiche basate sulle risorse per gli schemi Amazon EventBridge

Il registro degli EventBridge schemi supporta politiche basate sulle risorse. Una policy basata su risorse è una policy associata a una risorsa anziché a un'identità IAM. Ad esempio, in Amazon Simple Storage Service (Amazon S3), una policy basata su risorse è associata a un bucket Amazon S3.

Per ulteriori informazioni sugli EventBridge schemi e sulle politiche basate sulle risorse, vedere quanto segue.

• Riferimento all'API REST EventBridge di Amazon Schemas

• Policy basate su identità e policy basate su risorse nella Guida per l'utente di IAM

Supportato APIs per politiche basate sulle risorse

È possibile utilizzare quanto segue APIs con le politiche basate sulle risorse per il registro degli EventBridge schemi.

• DescribeRegistry

• UpdateRegistry

• DeleteRegistry

• ListSchemas

• SearchSchemas

• DescribeSchema

• CreateSchema

• DeleteSchema

• UpdateSchema

• ListSchemaVersions

• DeleteSchemaVersion

• DescribeCodeBinding

• GetCodeBindingSource

• PutCodeBinding

Esempio di politica che concede tutte le azioni supportate a un account AWS

Per il registro EventBridge dello schema, è necessario allegare sempre una politica basata sulle risorse a un registro. Per concedere l'accesso a uno schema, è necessario specificare l'ARN dello schema e l'ARN del registro nella policy.

Per concedere a un utente l'accesso a tutti EventBridge gli schemi disponibili APIs , utilizza una politica simile alla seguente, sostituendola "Principal" con l'ID dell'account a cui desideri concedere l'accesso.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": {
                "AWS": [
                    "109876543210" 
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Esempio di politica che concede azioni di sola lettura a un account AWS

L'esempio seguente concede l'accesso a un account solo per gli schemi in sola lettura. APIs EventBridge

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:DescribeRegistry",
                "schemas:ListSchemas",
                "schemas:SearchSchemas",
                "schemas:DescribeSchema",
                "schemas:ListSchemaVersions",
                "schemas:DescribeCodeBinding",
                "schemas:GetCodeBindingSource"
            ],
            "Principal": {
                "AWS": [
                    "109876543210"
                ]
            },
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ]
        }
    ]
}

Esempio di policy che concede tutte le azioni a un'organizzazione

È possibile utilizzare politiche basate sulle risorse con il registro degli EventBridge schemi per concedere l'accesso a un'organizzazione. Per ulteriori informazioni, consulta la AWS Organizations Guida per l'utente di . L'esempio seguente concede l'accesso al registro di schemi all'organizzazione con ID o-a1b2c3d4e5.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Test",
            "Effect": "Allow",
            "Action": [
                "schemas:*"
            ],
            "Principal": "*",
            "Resource": [
                "arn:aws:schemas:us-east-1:012345678901:registry/default",
                "arn:aws:schemas:us-east-1:012345678901:schema/default*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": [
                        "o-a1b2c3d4e5"
                    ]
                }
            }
        }
    ]
}