Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di policy basate su identità
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse di EventBridge Scheduler. Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o l' AWS API. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy IAM nella Guida per l'utente di IAM.
Per dettagli sulle azioni e sui tipi di risorse definiti da EventBridge Scheduler, incluso il formato degli ARN per ciascun tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon EventBridge Scheduler nel Service Authorization Reference.
Argomenti
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare EventBridge le risorse di Scheduler nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
-
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
-
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
-
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente IAM.
Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.
EventBridge Autorizzazioni Scheduler
Affinché un responsabile IAM (utente, gruppo o ruolo) possa creare pianificazioni in EventBridge Scheduler e accedere alle risorse di EventBridge Scheduler tramite la console o l'API, il principale deve disporre di un set di autorizzazioni aggiunto alla propria politica di autorizzazione. È possibile configurare queste autorizzazioni in base alla funzione lavorativa del principale. Ad esempio, un utente o un ruolo che utilizza solo la console EventBridge Scheduler per visualizzare un elenco di pianificazioni esistenti non deve disporre delle autorizzazioni necessarie per chiamare l'CreateScheduleoperazione API. Ti consigliamo di personalizzare le autorizzazioni basate sull'identità per fornire solo l'accesso con i privilegi minimi.
L'elenco seguente mostra le risorse di EventBridge Scheduler e le azioni supportate corrispondenti.
-
Pianificazione
-
scheduler:ListSchedules -
scheduler:GetSchedule -
scheduler:CreateSchedule -
scheduler:UpdateSchedule -
scheduler:DeleteSchedule
-
-
Gruppo di pianificazione
-
scheduler:ListScheduleGroups -
scheduler:GetScheduleGroup -
scheduler:CreateScheduleGroup -
scheduler:DeleteScheduleGroup -
scheduler:ListTagsForResource -
scheduler:TagResource -
scheduler:UntagResource
-
Puoi utilizzare le autorizzazioni di EventBridge Scheduler per creare le tue politiche gestite dai clienti da utilizzare con EventBridge Scheduler. È inoltre possibile utilizzare le politiche AWS gestite descritte nella sezione seguente per concedere le autorizzazioni necessarie per casi d'uso comuni senza dover gestire le proprie politiche.
AWS politiche gestite per Scheduler EventBridge
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome che AWS creano e amministrano. Le policy gestite, dette anche predefinite, concedono le autorizzazioni necessarie per casi d'uso comune, in modo da non dover determinare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM. Le seguenti politiche AWS gestite che puoi allegare agli utenti del tuo account sono specifiche di Scheduler: EventBridge
-
AmazonEventBridgeSchedulerFullAccess— Garantisce l'accesso completo a EventBridge Scheduler utilizzando la console e l'API.
-
AmazonEventBridgeSchedulerReadOnlyAccess— Concede l'accesso in sola lettura a Scheduler. EventBridge
AmazonEventBridgeSchedulerFullAccess
La politica AmazonEventBridgeSchedulerFullAccess gestita concede le autorizzazioni per utilizzare tutte le azioni di EventBridge Scheduler per le pianificazioni e i gruppi di pianificazioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AmazonEventBridgeSchedulerReadOnlyAccess
La politica AmazonEventBridgeSchedulerReadOnlyAccess gestita concede autorizzazioni di sola lettura per visualizzare i dettagli sulle pianificazioni e sui gruppi di pianificazioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListTagsForResource" ], "Resource": "*" } ] }
Politiche gestite dal cliente per Scheduler EventBridge
Utilizza i seguenti esempi per creare politiche personalizzate gestite dai clienti per EventBridge Scheduler. Le politiche gestite dai clienti consentono di concedere le autorizzazioni solo per le azioni e le risorse necessarie per le applicazioni e gli utenti del team in base alla funzione lavorativa del responsabile.
Argomenti
Esempio: CreateSchedule
Quando crei una nuova pianificazione, scegli se crittografare i tuoi dati su EventBridge Scheduler utilizzando una chiave o una chiave Chiave di proprietà di AWSgestita dal cliente.
La seguente politica consente a un responsabile di creare una pianificazione e applicare la crittografia utilizzando un. Chiave di proprietà di AWS Con an Chiave di proprietà di AWS, AWS gestisce le risorse su AWS Key Management Service (AWS KMS) per te in modo da non aver bisogno di autorizzazioni aggiuntive con AWS KMS cui interagire.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
Utilizza la seguente politica per consentire a un responsabile di creare una pianificazione e utilizzare una chiave gestita AWS KMS dal cliente per la crittografia. Per utilizzare una chiave gestita dal cliente, l'amministratore deve disporre dell'autorizzazione ad accedere alle AWS KMS risorse del tuo account. Questa politica consente l'accesso a una singola chiave KMS specificata da utilizzare per crittografare i dati su Scheduler. EventBridge In alternativa, puoi utilizzare un carattere wildcard (*) per concedere l'accesso a tutte le chiavi di un account o a un sottoinsieme che corrisponde a un determinato modello di nome.
{ "Version": "2012-10-17" "Statement": [ { "Action": [ "scheduler:CreateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
Esempio: GetSchedule
Utilizzate la seguente politica per consentire a un preside di ottenere informazioni su una pianificazione.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:GetSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] } ] }
Esempio: UpdateSchedule
Utilizza le seguenti politiche per consentire a un responsabile di aggiornare una pianificazione richiamando l'scheduler:UpdateScheduleazione. AnalogamenteCreateSchedule, la politica dipende dal fatto che la pianificazione utilizzi una chiave di crittografia AWS KMS Chiave di proprietà di AWS o una chiave gestita dal cliente per la crittografia. Per una pianificazione configurata con un Chiave di proprietà di AWS, utilizza la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
Per una pianificazione configurata con una chiave gestita dal cliente, utilizza la seguente politica. Questa politica include autorizzazioni aggiuntive che consentono a un principale di accedere alle AWS KMS risorse del tuo account:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:UpdateSchedule" ], "Effect": "Allow", "Resource": [ "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name}, { "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Effect": "Allow", "Resource": [ "arn:aws:kms:us-west-2:123456789012:key/my-key-id" ], "Conditions": { "StringLike": { "kms:ViaService": "scheduler.amazonaws.com", "kms:EncryptionContext:aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/my-schedule-name" } } { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
Esempio: DeleteScheduleGroup
Utilizza la seguente politica per consentire a un responsabile di eliminare un gruppo di pianificazioni. Quando si elimina un gruppo, si eliminano anche le pianificazioni associate a quel gruppo. Il responsabile che elimina il gruppo deve disporre dell'autorizzazione per eliminare anche le pianificazioni associate a quel gruppo. Questa politica concede l'autorizzazione principale a richiamare l'scheduler:DeleteScheduleGroupazione sui gruppi di pianificazioni specificati, nonché su tutte le pianificazioni del gruppo:
Nota
EventBridge Scheduler non supporta la specifica delle autorizzazioni a livello di risorsa per le singole pianificazioni. Ad esempio, la seguente dichiarazione non è valida e non deve essere inclusa nella politica:
"Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/
my-group/my-schedule-name"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "scheduler:DeleteSchedule", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group/*" }, { "Effect": "Allow", "Action": "scheduler:DeleteScheduleGroup", "Resource": "arn:aws:scheduler:us-west-2:123456789012:schedule/my-group" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } } ] }
AWS aggiornamenti delle politiche gestiti
| Modifica | Descrizione | Data |
|---|---|---|
|
AmazonEventBridgeSchedulerFullAccess— Nuova politica gestita |
EventBridge Scheduler aggiunge il supporto per una nuova politica gestita che garantisce agli utenti l'accesso completo a tutte le risorse, incluse le pianificazioni e i gruppi di pianificazione. |
10 novembre 2022 |
|
AmazonEventBridgeSchedulerReadOnlyAccess— Nuova politica gestita |
EventBridge Scheduler aggiunge il supporto per una nuova policy gestita che garantisce agli utenti l'accesso in sola lettura a tutte le risorse, incluse le pianificazioni e i gruppi di pianificazione. |
10 novembre 2022 |
|
EventBridge Scheduler ha iniziato a tenere traccia delle modifiche |
EventBridge Scheduler ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
10 novembre 2022 |
