O exemplo de política a seguir concede à conta 123456789012 permissão para criar, excluir, atualizar, desativar e habilitar regras, além de adicionar ou remover destinos. Ele limita essas regras que correspondem a eventos com uma origem de com.exampleCorp.webStore
e usa o "events:creatorAccount": "${aws:PrincipalAccount}"
para garantir que somente a conta 123456789012 possa modificar essas regras e origens depois de criados.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "InvoiceProcessingRuleCreation",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"events:PutRule",
"events:DeleteRule",
"events:DescribeRule",
"events:DisableRule",
"events:EnableRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "arn:aws:events:us-east-1:123456789012:rule/central-event-bus/*",
"Condition": {
"StringEqualsIfExists": {
"events:creatorAccount": "${aws:PrincipalAccount}",
"events:source": "com.exampleCorp.webStore"
}
}
}
]
}