翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 EventBridge
アイデンティティベースのポリシーは、IAM アイデンティティにアタッチするアクセス許可ポリシーです。
トピック
AWS の マネージドポリシー EventBridge
AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。管理ポリシー、つまり事前定義ポリシーは、一般的ユースケースに必要なアクセス許可を付与するため、どの許可が必要なのかをユーザーが調査する必要はありません。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
アカウントのユーザーにアタッチできる以下の AWS マネージドポリシーは、 に固有です EventBridge。
-
AmazonEventBridgeFullAccess — EventBridge パイプ EventBridge、 EventBridge スキーマ、ス EventBridge ケジューラを含む へのフルアクセスを許可します。
-
AmazonEventBridgeReadOnlyAccess — EventBridge Pipes EventBridge、 EventBridge Schemas、ス EventBridge ケジューラを含む への読み取り専用アクセスを許可します。
AmazonEventBridgeFullAccess ポリシー
この AmazonEventBridgeFullAccess ポリシーは、すべての EventBridge アクションを使用するアクセス許可と、次のアクセス許可を付与します。
-
iam:CreateServiceLinkedRole- API EventBridge 送信先のアカウントにサービスロールを作成するには、このアクセス許可が必要です。このアクセス許可は、API 送信先専用のロールをアカウントに作成するための IAM サービスアクセス許可のみを付与します。 -
iam:PassRole- 呼び出しロールを に渡し、ルールのターゲットを呼び出す EventBridge には、このアクセス許可 EventBridge が必要です。 -
Secrets Manager のアクセス許可 – EventBridge では、API 送信先を承認するために接続リソースを介して認証情報を提供するときに、アカウントのシークレットを管理するためにこれらのアクセス許可が必要です。
次の JSON は、 AmazonEventBridgeFullAccess ポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
注記
このセクションの情報は CloudWatchEventsFullAccess ポリシーにも適用されます。ただし、Amazon CloudWatch Events EventBridge の代わりに Amazon を使用することを強くお勧めします。
AmazonEventBridgeReadOnlyAccess ポリシー
この AmazonEventBridgeReadOnlyAccess ポリシーは、すべての読み取り EventBridge アクションを使用するアクセス許可を付与します。
次の JSON は、 AmazonEventBridgeReadOnlyAccess ポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
注記
このセクションの情報は CloudWatchEventsReadOnlyAccess ポリシーにも適用されます。ただし、Amazon CloudWatch Events EventBridge の代わりに Amazon を使用することを強くお勧めします。
EventBridge スキーマ固有の管理ポリシー
スキーマは、 に送信されるイベントの構造を定義します EventBridge。 EventBridge は、 AWS サービスによって生成されるすべてのイベントのスキーマを提供します。 EventBridge スキーマに固有の以下の AWS 管理ポリシーを使用できます。
EventBridge スケジューラ固有の管理ポリシー
Amazon EventBridge Scheduler はサーバーレススケジューラで、1 つの中央マネージドサービスからタスクを作成、実行、管理できます。ス EventBridge ケジューラに固有の AWS 管理ポリシーについては、スAWS EventBridge ケジューラユーザーガイドのスケジューラの 管理ポリシーを参照してください。 EventBridge
EventBridge パイプ固有の管理ポリシー
Amazon EventBridge Pipes はイベントソースをターゲットに接続します。パイプを使用すると、イベント駆動型アーキテクチャを開発する際に専門知識や統合コードが不要になります。これにより、会社のアプリケーション全体の一貫性が確保されます。 EventBridge Pipes に固有の以下の AWS マネージドポリシーを使用できます。
AmazonEventBridgePipesFullAccess
Amazon EventBridge Pipes へのフルアクセスを提供します。
注記
このポリシーは
iam:PassRoleを提供します。 EventBridge パイプは、パイプを作成および開始するために呼び出しロールを に渡す EventBridge ためにこのアクセス許可を必要とします。AmazonEventBridgePipesReadOnlyAccess
Amazon EventBridge Pipes への読み取り専用アクセスを提供します。
AmazonEventBridgePipesOperatorAccess
Amazon EventBridge Pipes への読み取り専用アクセスとオペレーター (つまり、Pipes の実行を停止および開始する機能) アクセスを提供します。
イベントを送信する IAM ロール
イベントをターゲットに中継するには、IAM ロール EventBridge が必要です。
にイベントを送信するための IAM ロールを作成するには EventBridge
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM ロールを作成するには、「IAM ユーザーガイド」の AWS 「サービスにアクセス許可を委任するロールの作成」のステップに従います。 その手順で、次のように実行します。
-
[Role Name] (ロール名) で、アカウント内で一意の名前を使用します。
-
「ロールタイプの選択」でAWS 「サービスロール」を選択し、「Amazon EventBridge」を選択します。これにより、ロールを引き受ける EventBridge アクセス許可が付与されます。
-
「ポリシーのアタッチ」で、「」を選択しますAmazonEventBridgeFullAccess。
-
独自のカスタム IAM ポリシーを作成して、 EventBridge アクションとリソースのアクセス許可を許可することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。IAM ポリシーの詳細については、「IAM ユーザーガイド」の「IAM ポリシーの概要」を参照してください。カスタム IAM ポリシーの管理と作成の詳細については、『IAM ユーザーガイド』の「IAM ポリシーの管理」を参照してください。
が IAM ロールを使用してターゲットにアクセス EventBridge するために必要なアクセス許可
EventBridge ターゲットには通常、ターゲットを呼び出す EventBridge アクセス許可を付与する IAM ロールが必要です。以下は、さまざまな AWS サービスとターゲットの例です。それ以外の場合は、 EventBridge コンソールを使用してルールを作成し、適切な範囲のアクセス許可が事前設定されたポリシーで作成される新しいロールを作成します。
Amazon SQS 、Amazon SNS 、Lambda、 CloudWatch Logs、および EventBridge バスターゲットはロールを使用しないため、 へのアクセス許可はリソースポリシーを介して付与 EventBridge する必要があります。API Gateway ターゲットは、リソースポリシーまたは IAM ロールのいずれかを使用できます。
ターゲットが API 送信先の場合、指定するロールには次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
ターゲットが Kinesis ストリームの場合、そのターゲットにイベントデータを送信するために使用されるロールは、次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
ターゲットが Systems Manager Run Command で、コマンドに 1 つ以上の InstanceIds 値を指定する場合は、指定するロールに次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
ターゲットが Systems Manager Run Command で、コマンドに 1 つ以上のタグを指定する場合は、指定するロールに次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
ターゲットが AWS Step Functions ステートマシンの場合、指定するロールには次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
ターゲットが Amazon ECS タスクの場合は、指定するロールに次のポリシーを含める必要があります。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
次のポリシーでは、 の組み込みターゲット EventBridge がユーザーに代わって Amazon EC2 アクションを実行することを許可します。組み込みターゲットでルールを作成するには AWS Management Console 、 を使用する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
次のポリシーでは EventBridge 、 が アカウントの Kinesis ストリームにイベントをリレーすることを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
カスタマー管理ポリシーの例 : タグ付けを使用してルールへのアクセスを制御する
次の例は、 EventBridge アクションのアクセス許可を付与するユーザーポリシーを示しています。このポリシーは、 EventBridge API、 AWS SDKs、または を使用する場合に機能します AWS CLI。
ユーザーに特定の EventBridge ルールへのアクセスを許可しながら、他のルールへのアクセスを禁止できます。そのためには、両方のルールにタグ付けし、そのタグを参照する IAM ポリシーを使用します。 EventBridge リソースのタグ付けの詳細については、「」を参照してくださいAmazon EventBridge タグ。
特定のタグでそのルールにのみアクセスを許可する IAM ポリシーをユーザーに付与することができます。アクセスを許可するルールは、その特定のタグでタグ付けすることで選択します。例えば次のポリシーでは、タグキー Stack の値が Prod のルールにユーザーアクセス権が付与されます。
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
IAM ポリシーステートメントの詳細については、『IAM ユーザーガイド』の「ポリシーを使用したアクセス制御」を参照してください。
AWS マネージドポリシーに対する Amazon EventBridge の更新
このサービスがこれらの変更の追跡を開始した EventBridge 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、 EventBridge ドキュメント履歴ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonEventBridgeFullAccess - ポリシーを更新 |
AWS GovCloud (US) Regions のみ 次のアクセス許可は使用されないため、含まれません。
|
2024 年 5 月 9 日 |
|
AmazonEventBridgeSchemasFullAccess - ポリシーを更新 |
AWS GovCloud (US) Regions のみ 次のアクセス許可は使用されないため、含まれません。
|
2024 年 5 月 9 日 |
|
AmazonEventBridgePipesFullAccess – 新しいポリシーが追加されました |
EventBridge EventBridge Pipes を使用するための完全なアクセス許可のための マネージドポリシーが に追加されました。 |
2022 年 12 月 1 日 |
|
AmazonEventBridgePipesReadOnlyAccess – 新しいポリシーが追加されました |
EventBridge に EventBridge 、パイプ情報リソースを表示するアクセス許可の マネージドポリシーが追加されました。 |
2022 年 12 月 1 日 |
|
AmazonEventBridgePipesOperatorAccess – 新しいポリシーが追加されました |
EventBridge は EventBridge 、パイプ情報を表示したり、パイプの実行を開始および停止したりするためのアクセス許可の マネージドポリシーを追加しました。 |
2022 年 12 月 1 日 |
|
AmazonEventBridgeFullAccess – 既存ポリシーへの更新 |
EventBridge EventBridge Pipes 機能を使用するために必要なアクセス許可を含めるようにポリシーを更新しました。 |
2022 年 12 月 1 日 |
|
AmazonEventBridgeReadOnlyAccess – 既存ポリシーへの更新 |
EventBridge で EventBridge 、パイプ情報リソースを表示するために必要なアクセス許可が追加されました。 以下のアクションが追加されました。
|
2022 年 12 月 1 日 |
|
CloudWatchEventsReadOnlyAccess – 既存ポリシーへの更新 |
と一致するように更新されました AmazonEventBridgeReadOnlyAccess。 |
2022 年 12 月 1 日 |
|
CloudWatchEventsFullAccess – 既存ポリシーへの更新 |
と一致するように更新されました AmazonEventBridgeFullAccess。 |
2022 年 12 月 1 日 |
|
AmazonEventBridgeFullAccess – 既存ポリシーへの更新 |
EventBridge は、スキーマとスケジューラ機能を使用するために必要なアクセス許可を含めるようにポリシーを更新しました。 次のアクセス許可が追加されました。
|
2022 年 11 月 10 日 |
|
AmazonEventBridgeReadOnlyAccess – 既存ポリシーへの更新 |
EventBridge は、スキーマとスケジューラの情報リソースを表示するために必要なアクセス許可を追加しました。 以下のアクションが追加されました。
|
2022 年 11 月 10 日 |
|
AmazonEventBridgeReadOnlyAccess – 既存ポリシーへの更新 |
EventBridge は、エンドポイント情報を表示するために必要なアクセス許可を追加しました。 以下のアクションが追加されました。
|
2022 年 4 月 7 日 |
|
AmazonEventBridgeReadOnlyAccess – 既存ポリシーへの更新 |
EventBridge は、接続と API 送信先情報の表示に必要なアクセス許可を追加しました。 以下のアクションが追加されました。
|
2021 年 3 月 4 日 |
|
AmazonEventBridgeFullAccess – 既存ポリシーへの更新 |
EventBridge API 送信先を使用するために必要な 以下のアクションが追加されました。
|
2021 年 3 月 4 日 |
|
EventBridge が変更の追跡を開始しました |
EventBridge が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 3 月 4 日 |
