Amazon EventBridge のアクション、リソース、および条件キー
Amazon EventBridge (サービスプレフィックス: events
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon EventBridge で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
ActivateEventSource | パートナーイベントソースをアクティブ化するアクセス許可を付与 | 書き込み | |||
CancelReplay | 再生をキャンセルするアクセス許可を付与 | 書き込み | |||
CreateApiDestination | 新しい API の送信先を作成するアクセス許可を付与 | 書き込み | |||
CreateArchive | 新しいアーカイブを作成するアクセス許可を付与 | 書き込み | |||
CreateConnection | 新しい接続を作成する許可を付与 | 書き込み | |||
CreateEndpoint | エンドポイントを作成するアクセス許可を付与 | 書き込み | |||
CreateEventBus | イベントバスを作成するアクセス許可を付与 | 書き込み | |||
CreatePartnerEventSource | パートナーイベントソースを作成するアクセス許可を付与 | 書き込み | |||
DeactivateEventSource | イベントソースを被アクティブにするアクセス許可を付与 | 書き込み | |||
DeauthorizeConnection | 接続の認可を解除するアクセス許可を付与し、保存されている認可シークレットを削除します | 書き込み | |||
DeleteApiDestination | API 送信先を削除するアクセス許可を付与 | 書き込み | |||
DeleteArchive | アーカイブを削除するアクセス許可を付与 | 書き込み | |||
DeleteConnection | 接続を削除する許可を付与。 | 書き込み | |||
DeleteEndpoint | エンドポイントを削除する許可を付与 | 書き込み | |||
DeleteEventBus | イベントバスを削除するアクセス許可を付与 | 書き込み | |||
DeletePartnerEventSource | パートナーイベントソースを削除するアクセス許可を付与 | 書き込み | |||
DeleteRule | ルールを削除するアクセス許可を付与 | 書き込み | |||
DescribeApiDestination | API 送信先の詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeArchive | アーカイブの詳細を削除するアクセス許可を付与 | 読み込み | |||
DescribeConnection | 接続の詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeEndpoint | エンドポイントの詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeEventBus | イベントバスの詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeEventSource | イベントソースの詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribePartnerEventSource | パートナーイベントソースの詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeReplay | 再生の詳細を取得するアクセス許可を付与 | 読み込み | |||
DescribeRule | ルールの詳細を取得するアクセス許可を付与 | 読み込み | |||
DisableRule | ルールを無効にするアクセス許可を付与 | 書き込み | |||
EnableRule | ルールを有効にするアクセス許可を付与 | 書き込み | |||
InvokeApiDestination [アクセス許可のみ] | API 送信先を呼び出すアクセス許可を付与 | 書き込み | |||
ListApiDestinations | API 送信先のリストを取得するアクセス許可を付与 | リスト | |||
ListArchives | アーカイブのリストを取得するアクセス許可を付与 | リスト | |||
ListConnections | 接続のリストを取得する許可を付与。 | リスト | |||
ListEndpoints | エンドポイントのリストを取得するアクセス許可を付与 | リスト | |||
ListEventBuses | アカウント内のイベントバスのリストを取得するアクセス許可を付与 | リスト | |||
ListEventSources | このアカウントで共有されているイベントソースのリストを取得するアクセス許可を付与 | リスト | |||
ListPartnerEventSourceAccounts | イベントソースに関連付けられた AWS アカウント ID のリストを取得するアクセス許可を付与 | リスト | |||
ListPartnerEventSources | パートナーイベントソースのリストを取得するアクセス許可を付与 | リスト | |||
ListReplays | 再生のリストを取得するアクセス許可を付与 | リスト | |||
ListRuleNamesByTarget | ターゲットに関連付けられたルール名のリストを取得するアクセス許可を付与 | リスト | |||
ListRules | アカウント内の Amazon EventBridge ルールのリストを取得するアクセス許可を付与 | リスト | |||
ListTagsForResource | Amazon EventBridge リソースに関連付けられたタグのリストを取得するアクセス許可を付与 | リスト | |||
ListTargetsByRule | ルールについて定義されたターゲットのリストを取得するアクセス許可を付与 | リスト | |||
PutEvents | カスタムイベントを Amazon EventBridge に送信するアクセス許可を付与 | 書き込み | |||
PutPartnerEvents | カスタムイベントを Amazon EventBridge に送信するアクセス許可を付与 | 書き込み | |||
PutPermission | デフォルトのイベントバスにイベントを配置する別の AWS アカウント にアクセス許可を付与 PutPermission アクションを使用するアクセス許可を付与 | Permissions management | |||
PutRule | ルールを作成または更新するアクセス許可を付与 | 書き込み | |||
PutTargets | ルールにターゲットを追加するアクセス許可を付与 | 書き込み | |||
RemovePermission | デフォルトのイベントバスにイベントを配置する別の AWS アカウント のアクセス許可を取り消すアクセス許可を付与 | Permissions management | |||
RemoveTargets | ルールからターゲットを削除するアクセス許可を付与 | 書き込み | |||
RetrieveConnectionCredentials [アクセス許可のみ] | 接続から認証情報を取得するためのアクセス許可を付与 | 書き込み | |||
StartReplay | アーカイブの再生を開始するアクセス許可を付与 | 書き込み | |||
TagResource | Amazon EventBridge リソースにタグを追加するアクセス許可を付与 | タグ付け | |||
TestEventPattern | イベントパターンが指定のイベントと一致するかどうかをテストするアクセス許可を付与 | 読み込み | |||
UntagResource | Amazon EventBridge リソースからタグを削除するアクセス許可を付与 | タグ付け | |||
UpdateApiDestination | API 送信先を更新するアクセス許可を付与 | 書き込み | |||
UpdateArchive | アーカイブを更新するアクセス許可を付与 | 書き込み | |||
UpdateConnection | 接続を更新する許可を付与。 | 書き込み | |||
UpdateEndpoint | エンドポイントを更新するアクセス許可を付与 | 書き込み | |||
UpdateEventBus | イベントバスを更新する許可を付与する | 書き込み |
Amazon EventBridge で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
event-source |
arn:${Partition}:events:${Region}::event-source/${EventSourceName}
|
|
event-bus |
arn:${Partition}:events:${Region}:${Account}:event-bus/${EventBusName}
|
|
rule-on-default-event-bus |
arn:${Partition}:events:${Region}:${Account}:rule/${RuleName}
|
|
rule-on-custom-event-bus |
arn:${Partition}:events:${Region}:${Account}:rule/${EventBusName}/${RuleName}
|
|
archive |
arn:${Partition}:events:${Region}:${Account}:archive/${ArchiveName}
|
|
replay |
arn:${Partition}:events:${Region}:${Account}:replay/${ReplayName}
|
|
connection |
arn:${Partition}:events:${Region}:${Account}:connection/${ConnectionName}
|
|
api-destination |
arn:${Partition}:events:${Region}:${Account}:api-destination/${ApiDestinationName}
|
|
endpoint |
arn:${Partition}:events:${Region}:${Account}:endpoint/${EndpointName}
|
|
create-snapshot |
arn:${Partition}:events:${Region}:${Account}:target/create-snapshot
|
|
reboot-instance |
arn:${Partition}:events:${Region}:${Account}:target/reboot-instance
|
|
stop-instance |
arn:${Partition}:events:${Region}:${Account}:target/stop-instance
|
|
terminate-instance |
arn:${Partition}:events:${Region}:${Account}:target/terminate-instance
|
Amazon EventBridge の条件キー
Amazon EventBridge では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | 各タグの許可された値のセットに基づいて、イベントバスおよびルールアクションへのアクセスをフィルタリングします。 | 文字列 |
aws:ResourceTag/${TagKey} | リソースに関連付けられたタグ値に基づいて、イベントバスおよびルールアクションへのアクセスをフィルタリングします。 | 文字列 |
aws:TagKeys | リクエスト内の必須タグの存在に基づいて、イベントバスおよびルールアクションへのアクセスをフィルタリングします。 | ArrayOfString |
events:EventBusArn | CreateEndpoint アクションおよび UpdateEndpoint アクションへのエンドポイントに関連付けることができるイベントバスの ARN でアクセスをフィルタリングします | ArrayOfARN |
events:ManagedBy | AWSのサービスでアクセスをフィルタリングします。お客様の代わりに AWS のサービスによってルールが作成された場合、値はルールを作成したサービスのプリンシパル名です | 文字列 |
events:TargetArn | ルールに設定できるターゲットの ARN に基づいて、PutTargets アクションへのアクセスをフィルタリングします。TargetARN には DeadLetterConfigArn は含まれていません | ArrayOfARN |
events:creatorAccount | ルールが作成されたアカウントに基づいて、ルールのアクションへのアクセスをフィルタリングします | 文字列 |
events:detail-type | イベントの詳細タイプのリテラル文字列に基づいて、PutEvents および PutRule アクションへのアクセスをフィルタリングします | 文字列 |
events:detail.eventTypeCode | イベントの detail.eventTypeCode フィールドのリテラル文字列に基づいて、PutRule アクションへのアクセスをフィルタリングします | 文字列 |
events:detail.service | イベントの detail.service フィールドのリテラル文字列に基づいて、PutRule アクションへのアクセスをフィルタリングします | 文字列 |
events:detail.userIdentity.principalId | イベントの detail.useridentity.principalid フィールドのリテラル文字列に基づいて、PutRule アクションへのアクセスをフィルタリングします | 文字列 |
events:eventBusInvocation | イベントが API またはクロスアカウントバスの呼び出しのいずれによって生成されたかに基づいて、PutEvents アクションへのアクセスをフィルタリングします | 文字列 |
events:source | イベントを生成した AWS のサービスまたは AWS パートナーイベントソースに基づいて、PutEvents および PutRule アクションへのアクセスをフィルタリングします。イベントのソースフィールドのリテラル文字列をマッチングします | ArrayOfString |