Amazon EventBridge スキーマのリソースベースのポリシー - Amazon EventBridge

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EventBridge スキーマのリソースベースのポリシー

EventBridge のスキーマレジストリは、リソースベースのポリシーをサポートしています。リソースベースのポリシーは、IAM アイデンティティではなくリソースにアタッチされるポリシーです。例えば、Amazon Simple Storage Service (Amazon S3) では、Amazon S3 バケットにリソースポリシーがアタッチされます。

EventBridge Schemas とリソースベースポリシーの詳細については、以下を参照してください。

リソースベースのポリシーでサポートされている API

EventBridge スキーマレジストリのリソースベースのポリシーでは、次の API を使用できます。

  • DescribeRegistry

  • UpdateRegistry

  • DeleteRegistry

  • ListSchemas

  • SearchSchemas

  • DescribeSchema

  • CreateSchema

  • DeleteSchema

  • UpdateSchema

  • ListSchemaVersions

  • DeleteSchemaVersion

  • DescribeCodeBinding

  • GetCodeBindingSource

  • PutCodeBinding

サポートされるすべてのアクションを AWS アカウントに付与するポリシーの例

EventBridge スキーマレジストリの場合、必ずリソースベースのポリシーをレジストリにアタッチする必要があります。スキーマへのアクセスを付与するには、ポリシーでスキーマ ARN とレジストリ ARN を指定します。

EventBridge スキーマの利用可能なすべての API へのアクセスをユーザーに付与するには、以下のようなポリシーを使用し、アクセスを付与したいアカウントのアカウント ID に "Principal" を置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:*" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ] }

AWS アカウントに読み取り専用のアクションを付与するポリシーの例

次の例では、EventBridge スキーマの読み取り専用 API のみのアクセスをアカウントに付与しています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:DescribeRegistry", "schemas:ListSchemas", "schemas:SearchSchemas", "schemas:DescribeSchema", "schemas:ListSchemaVersions", "schemas:DescribeCodeBinding", "schemas:GetCodeBindingSource" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ] }

組織にすべてのアクションを付与するポリシーの例

EventBridge スキーマレジストリでリソースベースポリシーを使用して、組織へのアクセスを付与することができます。詳細については、AWS Organizations ユーザーガイドを参照してください。次の例では、o-a1b2c3d4e5 という ID の組織にスキーマレジストリへのアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:*" ], "Principal": "*", "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ], "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-a1b2c3d4e5" ] } } } ] }