AWS アカウント間での Amazon EventBridge イベントの送受信 - Amazon EventBridge
他の AWS アカウントからのイベントを許可するアクセス許可を付与するAWS アカウント間のイベントに関するルールAWS アカウント間でイベントを送信するルールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS アカウント間での Amazon EventBridge イベントの送受信

AWS アカウント内のイベントバス間でイベントを送受信 EventBridge するように を設定できます。アカウント間でイベントを送受信 EventBridge するように を設定する場合、 AWS アカウント内のイベントバスとの間でイベントを送受信できるアカウントを指定できます。また、イベントバスに関連する特定のルールからのイベントや、特定のソースからのイベントを許可または拒否することもできます。詳細については、「Amazon EventBridge リソースポリシーによるクロスアカウントアクセスの簡素化」を参照してください。

注記

を使用する場合は AWS Organizations、組織を指定し、その組織内のすべてのアカウントへのアクセスを許可できます。さらに、別のアカウントにイベントを送信する場合、送信イベントバスには IAM ロールがアタッチされている必要があります。詳細については、AWS OrganizationsユーザーガイドのAWS Organizations とは を参照してください。

注記

Incident Manager の対応プランをターゲットとして使用している場合、アカウントで共有されているすべての対応プランがデフォルトで利用できます。

送信先リージョンがサポートされているクロスリージョン送信先リージョンである限り、すべてのリージョンの同じリージョン内の AWS アカウントと異なるリージョンのアカウント間でイベントバスを送受信できます。

別のアカウントのイベントバスとの間でイベント EventBridge を送受信するように を設定する手順は次のとおりです。

  • レシーバーアカウントで、イベントバスのアクセス許可を編集して、指定された AWS アカウント、組織、またはすべての AWS アカウントがレシーバーアカウントにイベントを送信できるようにします。

  • 送信側アカウントで、受信側アカウントのイベントバスをターゲットとする 1 つ以上のルールを設定します。

    送信者アカウントが AWS Organization からイベントを送信するアクセス許可を継承する場合、送信者アカウントには、受信側アカウントにイベントを送信できるようにするポリシーを持つ IAM ロールも必要です。を使用してレシーバーアカウントのイベントバスをターゲットとするルール AWS Management Console を作成すると、ロールが自動的に作成されます。を使用する場合は AWS CLI、ロールを手動で作成する必要があります。

  • 受信側アカウントで、送信側アカウントからのイベントに一致する 1 つ以上のルールを設定します。

1 つのアカウントから別のアカウントに送信されたイベントは、カスタムイベントとして送信側アカウントに課金されます。受信側アカウントには課金されません。詳細については、「Amazon の EventBridge 料金」を参照してください。

受信側アカウントで、送信側アカウントから受信したイベントを第三のアカウントに送信するルールが設定されていても、それらのイベントは第三のアカウントには送信されません。

同じアカウントに 3 つのイベントバスがあり、最初のイベントバスにルールを設定して、2 番目のイベントバスから 3 番目のイベントバスにイベントを転送する場合、それらのイベントは 3 番目のイベントバスに送信されません。

次のビデオでは、アカウント間のルーティングイベントについて説明します。

他の AWS アカウントからのイベントを許可するアクセス許可を付与する

他のアカウントや組織からイベントを受信するには、まず、イベントを受信するイベントバスに対する許可を編集する必要があります。デフォルトのイベントバスは、 AWS サービス、他の認可された AWS アカウント、および PutEvents 呼び出しからのイベントを受け入れます。イベントバスに対するアクセス許可は、イベントバスにアタッチされたリソースベースのポリシーを使用して付与または拒否されます。ポリシーでは、アカウント ID を使用して他の AWS アカウントにアクセス許可を付与することも、 AWS 組織 ID を使用して組織にアクセス許可を付与することもできます。ポリシーの例など、イベントバスに対するアクセス許可についての詳細は、Amazon EventBridge イベントバスのアクセス許可 を参照してください。

注記

EventBridge では、すべての新しいクロスアカウントイベントバスターゲットが IAM ロールを追加する必要があるようになりました。これは、2023 年 3 月 2 日以降に作成されたイベントバスターゲットにのみ適用されます。この日より前に IAM ロールなしで作成されたアプリケーションは影響を受けません。ただし、IAM ロールを追加して、ユーザーに別のアカウントのリソースへのアクセスを許可することをお勧めします。これにより、サービスコントロールポリシー (SCP) を使用する組織の境界が適用され、組織内のアカウントからイベントを送受信できるユーザーを特定できるようになります。

重要

すべての AWS アカウントからイベントを受信する場合は、他のユーザーから受信するイベントのみに一致するルールを作成するように注意してください。より安全なルールを作成するには、各ルールのイベントパターンに、Account フィールドと、イベントの受信元の 1 つ以上のアカウントのアカウント ID が必ず含まれるようにします。アカウントフィールドを含むイベントパターンを持つルールは、Account フィールドにリストされていないアカウントから送信されたイベントと一致しません。詳細については、「Amazon EventBridge イベント」を参照してください。

AWS アカウント間のイベントに関するルール

アカウントが他のアカウントのイベントバスからイベントを受信するように設定されている場合は AWS 、それらのイベントに一致するルールを記述できます。他のアカウントのイベントバスから受信しているイベントと一致するように、ルールのイベントパターンを設定します。

ルールのイベントパターンで account を指定した場合を除き、アカウントのルール (新規と既存の両方) のうち、他のアカウントのイベントバスから受信しているイベントに一致するすべてのルールがトリガーされます。別のアカウントのイベントバスからイベントを受信し、自分のアカウントから生成されたときにそのイベントパターンのみでルールがトリガーされるようにするには、account を追加し、自分のアカウント ID をルールのイベントパターンに指定する必要があります。

すべての AWS アカウントのイベントバスからのイベントを受け入れるように AWS アカウントを設定する場合は、アカウント内のすべての EventBridge ルールaccountに を追加することを強くお勧めします。これにより、アカウントのルールが不明な AWS アカウントからのイベントでトリガーされるのを防ぐことができます。ルールで account フィールドを指定するときは、1 つ以上の AWS アカウントのアカウント ID をフィールドで指定できます。

アクセス許可を付与した AWS アカウントのイベントバスから一致するイベントに対してルールをトリガーするには、ルールの account フィールドに * を指定しないでください。これにより、* はイベントの account フィールドに表示されないため、どのイベントとも一致しません。代わりに、ルールから account フィールドを省略します。

AWS アカウント間でイベントを送信するルールの作成

別のアカウント内のイベントバスをターゲットとして指定することは、ルール作成の一部です。

コンソールを使用して別の AWS アカウントにイベントを送信するルールを作成するには

  1. イベントに反応する Amazon EventBridge ルールの作成」のステップに従います。

  2. ターゲットを選択する」ステップで、ターゲットタイプを選択するように求めるプロンプトが表示された場合:

    1. EventBridge イベントバス を選択します。

    2. [別のアカウントまたはリージョン内のイベントバス] を選択します。

    3. [ターゲットとしてのイベントバス] に、使用するイベントバスの ARN を入力します。

  3. ステップに従ってルールの作成を完了します。