AWS アカウント間の Amazon EventBridge イベントの送受信 - Amazon EventBridge
AWS 他のアカウントからのイベントを許可する権限を付与するAWS アカウント間のイベントに関するルールAWS アカウント間でイベントを送信するルールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS アカウント間の Amazon EventBridge イベントの送受信

EventBridge AWS アカウントのイベントバス間でイベントを送受信するように設定できます。 EventBridge アカウント間でイベントを送受信するように設定すると、 AWS アカウントのイベントバスにイベントを送受信できるアカウントを指定できます。また、イベントバスに関連する特定のルールからのイベントや、特定のソースからのイベントを許可または拒否することもできます。詳細については、「Amazon EventBridge リソースポリシーによるクロスアカウントアクセスの簡素化」を参照してください。

注記

を使用する場合 AWS Organizations、組織を指定して、その組織内のすべてのアカウントにアクセス権を付与できます。さらに、別のアカウントにイベントを送信する場合、送信イベントバスには IAM ロールがアタッチされている必要があります。詳細については、AWS OrganizationsユーザーガイドのAWS Organizations とは を参照してください。

注記

Incident Manager の対応プランをターゲットとして使用している場合、アカウントで共有されているすべての対応プランがデフォルトで利用できます。

AWS 宛先リージョンがクロスリージョンの宛先リージョンがサポートされている限り、すべてのリージョンの同じリージョンのアカウント間でイベントを送受信できます。また、異なるリージョンのアカウント間でイベントを送受信できます。

EventBridge 別のアカウントのイベントバスとの間でイベントを送受信するように設定する手順は次のとおりです。

  • レシーバーアカウントで、イベントバスの権限を編集して、 AWS 特定のアカウント、組織、 AWS またはすべてのアカウントがレシーバーアカウントにイベントを送信できるようにします。

  • 送信側アカウントで、受信側アカウントのイベントバスをターゲットとする 1 つ以上のルールを設定します。

    AWS 送信者アカウントが組織からイベントを送信する権限を継承する場合、送信者アカウントには、受信者アカウントにイベントを送信できるようにするポリシーを含む IAM ロールも必要です。 AWS Management Console を使用して受信者アカウントのイベントバスを対象とするルールを作成すると、ロールは自動的に作成されます。を使用する場合 AWS CLI、ロールを手動で作成する必要があります。

  • 受信側アカウントで、送信側アカウントからのイベントに一致する 1 つ以上のルールを設定します。

1 つのアカウントから別のアカウントに送信されたイベントは、カスタムイベントとして送信側アカウントに課金されます。受信側アカウントには課金されません。詳細については、「Amazon EventBridge 料金表」を参照してください。

受信側アカウントで、送信側アカウントから受信したイベントを第三のアカウントに送信するルールが設定されていても、それらのイベントは第三のアカウントには送信されません。

次のビデオでは、アカウント間のルーティングイベントについて説明します。

AWS 他のアカウントからのイベントを許可する権限を付与する

他のアカウントや組織からイベントを受信するには、まず、イベントを受信するイベントバスに対する許可を編集する必要があります。デフォルトのイベントバスは、 AWS サービス、 AWS 他の承認済みアカウント、PutEventsおよび呼び出しからのイベントを受け付けます。イベントバスに対するアクセス許可は、イベントバスにアタッチされたリソースベースのポリシーを使用して付与または拒否されます。ポリシーでは、 AWS アカウント ID を使用して他のアカウントにアクセス許可を付与したり、組織 ID AWS を使用して組織にアクセス許可を付与したりできます。ポリシーの例など、イベントバスに対するアクセス許可についての詳細は、Amazon EventBridge イベントバスのアクセス許可 を参照してください。

注記

EventBridge これで、すべての新しいクロスアカウントイベントバスターゲットに IAM ロールを追加することが義務付けられました。これは、2023 年 3 月 2 日以降に作成されたイベントバスターゲットにのみ適用されます。この日より前に IAM ロールなしで作成されたアプリケーションは影響を受けません。ただし、IAM ロールを追加して、ユーザーに別のアカウントのリソースへのアクセスを許可することをお勧めします。これにより、サービスコントロールポリシー (SCP) を使用する組織の境界が適用され、組織内のアカウントからイベントを送受信できるユーザーを特定できるようになります。

重要

AWS すべてのアカウントからイベントを受信するように選択した場合は、他のアカウントから受信するイベントのみと一致するルールを作成するように注意してください。より安全なルールを作成するには、各ルールのイベントパターンに、Account フィールドと、イベントの受信元の 1 つ以上のアカウントのアカウント ID が必ず含まれるようにします。アカウントフィールドを含むイベントパターンを持つルールは、Account フィールドにリストされていないアカウントから送信されたイベントと一致しません。詳細については、「Amazon EventBridge イベント」を参照してください。

AWS アカウント間のイベントに関するルール

AWS アカウントが他のアカウントのイベントバスからのイベントを受信するように設定されている場合は、それらのイベントに合わせたルールを作成できます。他のアカウントのイベントバスから受信しているイベントと一致するように、ルールのイベントパターンを設定します。

ルールのイベントパターンで account を指定した場合を除き、アカウントのルール (新規と既存の両方) のうち、他のアカウントのイベントバスから受信しているイベントに一致するすべてのルールがトリガーされます。別のアカウントのイベントバスからイベントを受信し、自分のアカウントから生成されたときにそのイベントパターンのみでルールがトリガーされるようにするには、account を追加し、自分のアカウント ID をルールのイベントパターンに指定する必要があります。

AWS AWS すべてのアカウントのイベントバスからのイベントを受け付けるようにアカウントを設定している場合は、account EventBridge アカウントのすべてのルールに追加することを強くお勧めします。これにより、 AWS アカウント内のルールが不明なアカウントからのイベントでトリガーされるのを防ぐことができます。ルールで account フィールドを指定するときは、1 つ以上の AWS アカウントのアカウント ID をフィールドで指定できます。

AWS 権限を付与したアカウント内の任意のイベントバスからの一致するイベントでルールをトリガーするには、accountルールのフィールドに* を指定しないでください。これにより、* はイベントの account フィールドに表示されないため、どのイベントとも一致しません。代わりに、ルールから account フィールドを省略します。

AWS アカウント間でイベントを送信するルールを作成する

別のアカウント内のイベントバスをターゲットとして指定することは、ルール作成の一部です。

AWS コンソールを使用して別のアカウントにイベントを送信するルールを作成するには

  1. イベントに反応する Amazon EventBridge ルールの作成」のステップに従います。

  2. ターゲットを選択する」ステップで、ターゲットタイプを選択するように求めるプロンプトが表示された場合:

    1. EventBridge イベントバス」を選択します。

    2. [別のアカウントまたはリージョン内のイベントバス] を選択します。

    3. [ターゲットとしてのイベントバス] に、使用するイベントバスの ARN を入力します。

  3. ステップに従ってルールの作成を完了します。