Gerenciando permissões de acesso aos seus EventBridge recursos da Amazon - Amazon EventBridge
Recursos e operaçõesPropriedade de recursosGerenciar acesso aos recursos da Especificando elementos de política: ações, efeitos e entidades principaisEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando permissões de acesso aos seus EventBridge recursos da Amazon

Você gerencia o acesso a EventBridge recursos, como regras ou eventos, usando políticas baseadas em identidade ou recursos.

EventBridge recursos

EventBridge recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles. Você usa ARNs in EventBridge para criar padrões de eventos. Para obter mais informações sobreARNs, consulte Amazon Resource Names (ARN) e AWS Service Namespaces no. Referência geral da Amazon Web Services

Para obter uma lista de operações que EventBridge fornecem para trabalhar com recursos, consulteReferência de EventBridge permissões da Amazon.

nota

A maioria dos serviços em AWS trata dois pontos (:) ou uma barra (/) como o mesmo caractere em. ARNs No entanto, EventBridge usa uma correspondência exata nos padrões e regras do evento. Certifique-se de usar os ARN caracteres corretos ao criar padrões de eventos para que eles correspondam à ARN sintaxe do evento que você deseja combinar.

A tabela a seguir mostra os recursos em EventBridge.

Tipo de recurso ARNFormato

Arquivo

arn:aws:events:region:account:archive/archive-name

Reproduzir

arn:aws:events:region:account:replay/replay-name

Regra

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Barramento de eventos

arn:aws:events:region:account:event-bus/event-bus-name

Todos os EventBridge recursos

arn:aws:events:*

Todos os EventBridge recursos pertencentes à conta especificada na região especificada

arn:aws:events:region:account:*

O exemplo a seguir mostra como indicar uma regra específica (myRule) em sua declaração usando seuARN.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Para especificar todas as regras pertencentes a uma conta específica usando o curinga de asterisco (*), conforme o seguinte:

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Para especificar todos os recursos, ou se uma API ação específica não for compatívelARNs, use o caractere curinga asterisco (*) no Resource elemento da seguinte maneira.

"Resource": "*"

Para especificar vários recursos ou PutTargets em uma única declaração, separe-os ARNs com vírgulas da seguinte maneira.

"Resource": ["arn1", "arn2"]

Propriedade de recursos

Uma conta é proprietária dos recursos da conta, independentemente de quem os cria. O proprietário do recurso é a conta da entidade principal, o usuário raiz da conta, um IAM usuário ou função que autentica a solicitação para criar o recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais de usuário raiz da sua conta para criar uma regra, sua conta é a proprietária do EventBridge recurso.

  • Se você criar um usuário em sua conta e conceder permissões para criar EventBridge recursos para esse usuário, o usuário poderá criar EventBridge recursos. No entanto, sua conta, à qual o usuário pertence, é proprietária dos EventBridge recursos.

  • Se você criar uma IAM função na sua conta com permissões para criar EventBridge recursos, qualquer pessoa que possa assumir a função poderá criar EventBridge recursos. Sua conta, à qual a função pertence, é proprietária dos EventBridge recursos.

Gerenciar acesso aos recursos da

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso IAM no contexto de EventBridge. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a sintaxe e as descrições das IAM políticas, consulte a referência da IAM política no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (políticas) e IAM as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. Em EventBridge, você pode usar políticas baseadas em identidade (IAMpolíticas) e baseadas em recursos.

Políticas baseadas em identidade (políticas) IAM

Você pode anexar políticas às IAM identidades. Por exemplo, você pode fazer o seguinte:

  • Anexe uma política de permissões a um usuário ou grupo em sua conta — Para conceder a um usuário permissão para visualizar regras no CloudWatch console da Amazon, anexe uma política de permissões a um usuário ou grupo ao qual o usuário pertença.

  • Anexar uma política de permissões a uma função (conceder permissões entre contas) — Você pode anexar uma política de permissões baseada em identidade a uma IAM função para conceder permissões entre contas. Por exemplo, o administrador da conta A pode criar uma função para conceder permissões entre contas a outra conta B ou a um AWS serviço da seguinte forma:

    1. O administrador da conta A cria uma IAM função e anexa uma política de permissões à função que concede permissão sobre recursos na conta A.

    2. Um administrador da conta A anexa uma política de confiança ao perfil identificando a conta B como a entidade principal, que pode assumir a função.

    3. O administrador da conta B pode então delegar permissões para assumir a função a qualquer usuário na conta B. Isso permite que os usuários da conta B criem ou acessem recursos na conta A. O principal na política de confiança também pode ser um diretor de AWS serviço para conceder a um AWS serviço a permissão necessária para assumir a função.

    Para obter mais informações sobre IAM como delegar permissões, consulte Gerenciamento de acesso no Guia do IAM usuário.

Você pode criar IAM políticas específicas para restringir as chamadas e os recursos aos quais os usuários da sua conta têm acesso e, em seguida, anexar essas políticas aos usuários. Para obter mais informações sobre como criar IAM funções e explorar exemplos de declarações IAM de política para EventBridge, consulteGerenciando permissões de acesso aos seus EventBridge recursos da Amazon.

Políticas baseadas em recursos (políticas) IAM

Quando uma regra é executada EventBridge, todos os destinos associados à regra são invocados, o que significa invocar as AWS Lambda funções, publicar nos SNS tópicos da Amazon ou transmitir o evento para os streams do Amazon Kinesis. Para fazer API chamadas nos recursos que você possui, EventBridge precisa da permissão apropriada. Para SQS recursos da LambdaSNS, Amazon e Amazon, EventBridge usa políticas baseadas em recursos. Para streams do Kinesis, EventBridge usa funções. IAM

Para obter mais informações sobre como criar IAM funções e explorar exemplos de declarações de políticas baseadas em recursos para EventBridge, consulte. Usando políticas baseadas em recursos para a Amazon EventBridge

Especificando elementos de política: ações, efeitos e entidades principais

Para cada EventBridge recurso, EventBridge define um conjunto de API operações. Para conceder permissões para essas API operações, EventBridge define um conjunto de ações que você pode especificar em uma política. Algumas API operações exigem permissões para que mais de uma ação seja API executada. Para obter mais informações sobre recursos e API operações, consulte EventBridge recursos Referência de EventBridge permissões da Amazon e.

Estes são os elementos de política básicos:

  • Recurso — Use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para ter mais informações, consulte EventBridge recursos.

  • Ação: use palavras-chave para identificar as operações de recurso que deseja permitir ou negar. Por exemplo, a permissão events:Describe permite que o usuário execute a operação Describe.

  • Efeito: especifique permitir ou negar. Se não conceder (permitir) explicitamente acesso a um recurso, o acesso estará negado. Também é possível negar explicitamente o acesso a um recurso para ter certeza de que um usuário não conseguirá acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para obter mais informações sobre a sintaxe e as descrições das IAM políticas, consulte Referência IAM JSON de políticas no Guia do IAM usuário.

Para obter informações sobre EventBridge API ações e os recursos aos quais elas se aplicam, consulteReferência de EventBridge permissões da Amazon.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.

Para expressar condições, são usadas chaves de condição. Há chaves de AWS condição e chaves EventBridge específicas que você pode usar conforme apropriado. Para obter uma lista completa das AWS chaves, consulte Chaves disponíveis para condições no Guia IAM do usuário. Para obter uma lista completa de chaves EventBridge específicas, consulteUsando as condições IAM da política na Amazon EventBridge.