Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon EventBridge
Le policy basate su identità sono policy di autorizzazione che vengono associate a identità IAM.
Argomenti
AWS politiche gestite per EventBridge
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da AWS. Le policy gestite, dette anche predefinite, concedono le autorizzazioni necessarie per casi d'uso comune, in modo da non dover determinare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
Le seguenti politiche AWS gestite che puoi allegare agli utenti del tuo account sono specifiche per EventBridge:
-
AmazonEventBridgeFullAccess— Garantisce l'accesso completo a EventBridge, inclusi EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Garantisce l'accesso in sola lettura a EventBridge, inclusi EventBridge Pipes, Schemas e Scheduler. EventBridge EventBridge
AmazonEventBridgeFullAccess politica
La AmazonEventBridgeFullAccess politica concede le autorizzazioni per utilizzare tutte le EventBridge azioni, oltre alle seguenti autorizzazioni:
-
iam:CreateServiceLinkedRole— EventBridge richiede questa autorizzazione per creare il ruolo di servizio nell'account per le destinazioni API. Questa autorizzazione concede solo le autorizzazioni del servizio IAM per creare un ruolo nel tuo account specificamente per le destinazioni API. -
iam:PassRole— EventBridge richiede questa autorizzazione per passare un ruolo di invocazione per EventBridge richiamare l'obiettivo di una regola. -
Autorizzazioni Secrets Manager: EventBridge richiede queste autorizzazioni per gestire i segreti nel tuo account quando fornisci credenziali tramite la risorsa di connessione per autorizzare le destinazioni API.
Il codice JSON seguente mostra la politica. AmazonEventBridgeFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
Nota
Le informazioni contenute in questa sezione si applicano anche alla policy CloudWatchEventsFullAccess. Tuttavia, si consiglia vivamente di utilizzare Amazon EventBridge anziché Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess politica
La AmazonEventBridgeReadOnlyAccess politica concede le autorizzazioni per utilizzare tutte le azioni di lettura EventBridge .
Il codice JSON seguente mostra la politica. AmazonEventBridgeReadOnlyAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
Nota
Le informazioni contenute in questa sezione si applicano anche alla policy CloudWatchEventsReadOnlyAccess. Tuttavia, si consiglia vivamente di utilizzare Amazon EventBridge anziché Amazon CloudWatch Events.
EventBridge Politiche gestite specifiche dello schema
Uno schema definisce la struttura degli eventi a cui vengono inviati. EventBridge EventBridge fornisce schemi per tutti gli eventi generati dai AWS servizi. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Schemas:
EventBridge Politiche gestite specifiche per Scheduler
Amazon EventBridge Scheduler è uno strumento di pianificazione senza server che consente di creare, eseguire e gestire attività da un unico servizio gestito centralizzato. Per le policy AWS gestite specifiche di EventBridge Scheduler, consulta le politiche AWS gestite per Scheduler nella EventBridge Scheduler User Guide. EventBridge
EventBridge Politiche gestite specifiche per Pipes
Amazon EventBridge Pipes collega le sorgenti di eventi alle destinazioni. Pipes riduce la necessità di conoscenze specialistiche e codice di integrazione per lo sviluppo di architetture basate su eventi. Ciò aiuta a garantire la coerenza tra le applicazioni dell'azienda. Sono disponibili le seguenti politiche AWS gestite specifiche per EventBridge Pipes:
AmazonEventBridgePipesFullAccess
Fornisce accesso completo ad Amazon EventBridge Pipes.
Nota
Questa policy prevede
iam:PassRole: EventBridge Pipes richiede questa autorizzazione per passare un ruolo di invocazione EventBridge per creare e avviare pipe.AmazonEventBridgePipesReadOnlyAccess
Fornisce accesso in sola lettura ad Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fornisce l'accesso in sola lettura e all'operatore (ovvero la possibilità di interrompere e avviare Pipes) ad Amazon EventBridge Pipes.
Ruoli IAM per l'invio di eventi
Per inoltrare gli eventi agli obiettivi, è EventBridge necessario un ruolo IAM.
Per creare un ruolo IAM per l'invio di eventi a EventBridge
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Per creare un ruolo IAM, segui i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente IAM. e prendi nota di quanto segue:
-
In Nome ruolo, utilizza un nome univoco nel tuo account.
-
In Seleziona tipo di ruolo, scegli Ruoli di AWS servizio, quindi scegli Amazon EventBridge. Ciò concede EventBridge le autorizzazioni per assumere il ruolo.
-
In Allega politica, scegli. AmazonEventBridgeFullAccess
-
Puoi anche creare policy IAM personalizzate per consentire EventBridge autorizzazioni per azioni e risorse. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni. Per ulteriori informazioni sulle policy IAM, consulta Panoramica delle policy IAM nella Guida per l'utente di IAM. Per ulteriori informazioni sulla gestione e sulla creazione di policy IAM personalizzate, consulta Gestione di policy IAM nella Guida per l'utente di IAM.
Autorizzazioni necessarie per accedere EventBridge agli obiettivi utilizzando i ruoli IAM
EventBridge gli obiettivi in genere richiedono ruoli IAM che concedono l'autorizzazione EventBridge a richiamare l'obiettivo. Di seguito sono riportati alcuni esempi di vari AWS servizi e destinazioni. Per gli altri, usa la EventBridge console per creare una regola e creare un nuovo ruolo che verrà creato con una politica con autorizzazioni ben definite preconfigurate.
Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs EventBridge e le destinazioni bus non utilizzano ruoli e le EventBridge autorizzazioni devono essere concesse tramite una politica delle risorse. Le destinazioni di Gateway API possono utilizzare policy basate su risorse o ruoli IAM.
Se la destinazione è una destinazione API, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Se la destinazione è un flusso Kinesis, il ruolo utilizzato per inviare dati di eventi alla destinazione deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Se la destinazione è il comando run di Systems Manager e specifichi uno o più valori InstanceIds per il comando, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se la destinazione è il comando run di Systems Manager e specifichi uno o più tag per il comando, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se la destinazione è una macchina a AWS Step Functions stati, il ruolo specificato deve includere la seguente politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Se la destinazione è un'attività Amazon ECS, il ruolo specificato deve includere la policy seguente.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
La seguente policy consente agli obiettivi integrati EventBridge di eseguire azioni Amazon EC2 per tuo conto. È necessario utilizzare il AWS Management Console per creare regole con obiettivi predefiniti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
La seguente politica consente di EventBridge inoltrare gli eventi agli stream Kinesis del tuo account.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Esempio di policy gestita dal cliente: utilizzo di tag per controllare l'accesso alle regole
L'esempio seguente mostra una politica utente che concede le autorizzazioni per le azioni. EventBridge Questa politica funziona quando utilizzi l' EventBridge API, gli AWS SDK o il. AWS CLI
Puoi concedere agli utenti l'accesso a EventBridge regole specifiche impedendo loro di accedere ad altre regole. A tale scopo, applichi tag a entrambi i set di regole e usi le policy IAM che fanno riferimento a tali tag. Per ulteriori informazioni sull'etichettatura EventBridge delle risorse, consulta EventBridge Etichette Amazon.
Puoi concedere una policy IAM a un utente per consentirgli di accedere unicamente alle regole con un determinato tag. Puoi scegliere a quali regole concedere l'accesso contrassegnandole con quel particolare tag. Ad esempio, la seguente policy garantisce a un utente l'accesso alle regole con il valore Prod per la chiave di tag Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Per ulteriori informazioni sull'utilizzo di istruzioni di policy IAM, consulta Controllo dell'accesso tramite le policy nella Guida per l'utente di IAM.
EventBridge Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite EventBridge da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei EventBridge documenti.
| Modifica | Descrizione | Data |
|---|---|---|
|
AmazonEventBridgeFullAccess— Politica aggiornata |
AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata:
|
9 maggio 2024 |
|
AmazonEventBridgeSchemasFullAccess— Politica aggiornata |
AWS GovCloud (US) Regions solo La seguente autorizzazione non è inclusa, in quanto non viene utilizzata:
|
9 maggio 2024 |
|
AmazonEventBridgePipesFullAccess— Aggiunta una nuova politica |
EventBridge aggiunta una politica gestita per le autorizzazioni complete per l'utilizzo di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Aggiunta una nuova politica |
EventBridge aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle risorse informative di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgePipesOperatorAccess— Aggiunta una nuova politica |
EventBridge è stata aggiunta una politica gestita per le autorizzazioni alla visualizzazione delle informazioni sui EventBridge tubi, nonché all'avvio e all'arresto delle pipe in esecuzione. |
1 dicembre 2022 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo delle funzionalità di EventBridge Pipes. |
1 dicembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative di EventBridge Pipes. Sono state aggiunte le seguenti azioni:
|
1 dicembre 2022 |
|
CloudWatchEventsReadOnlyAccess: aggiornamento a una policy esistente |
Aggiornato per corrispondere AmazonEventBridgeReadOnlyAccess. |
1 dicembre 2022 |
|
CloudWatchEventsFullAccess: aggiornamento a una policy esistente |
Aggiornato per corrispondere AmazonEventBridgeFullAccess. |
1 dicembre 2022 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica per includere le autorizzazioni necessarie per l'utilizzo degli schemi e delle funzionalità di pianificazione. Sono state aggiunte le seguenti autorizzazioni:
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto i permessi necessari per visualizzare le risorse informative dello schema e dello scheduler. Sono state aggiunte le seguenti azioni:
|
10 novembre 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sugli endpoint. Sono state aggiunte le seguenti azioni:
|
7 aprile 2022 |
|
AmazonEventBridgeReadOnlyAccess: aggiornamento a una policy esistente |
EventBridge ha aggiunto le autorizzazioni necessarie per visualizzare le informazioni sulla connessione e sulla destinazione dell'API. Sono state aggiunte le seguenti azioni:
|
4 marzo 2021 |
|
AmazonEventBridgeFullAccess: aggiornamento a una policy esistente |
EventBridge ha aggiornato la politica per includerla Sono state aggiunte le seguenti azioni:
|
4 marzo 2021 |
|
EventBridge ha iniziato a tenere traccia delle modifiche |
EventBridge ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
4 marzo 2021 |
