Como gerenciar permissões de acesso aos seus recursos do Amazon EventBridge - Amazon EventBridge
Recursos e operaçõesPropriedade do recursoGerenciamento de acesso aos recursosEspecificar elementos da política: ações, efeitos e entidades principaisEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como gerenciar permissões de acesso aos seus recursos do Amazon EventBridge

O acesso aos recursos do EventBridge, como regras ou eventos, são gerenciados usando políticas baseadas em identidade ou recursos.

Recursos do EventBridge

Recursos e sub-recursos do EventBridge têm nomes do recurso da Amazon (ARNs) exclusivos associados a eles. ARNs no EventBridge são usados para criar padrões de eventos. Para obter mais informações sobre ARNs, consulte Nomes de recurso da Amazon (ARN) e namespaces de serviço da AWS no Referência geral da Amazon Web Services.

Para obter uma lista das operações que o EventBridge fornece para trabalhar com recursos, consulte Referência de permissões do Amazon EventBridge.

nota

A maioria dos serviços na AWS trata os dois pontos (:) e a barra inclinada (/) como o mesmo caractere em ARNs. No entanto, o EventBridge usa uma correspondência exata nas regras e nos padrões de eventos. Use os caracteres de ARN corretos ao criar padrões de evento para que eles correspondam à sintaxe do ARN no evento a que você quer corresponder.

A tabela a seguir mostra os recursos do EventBridge.

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Arquivo

arn:aws:events:region:account:archive/archive-name

Reproduzir novamente

arn:aws:events:region:account:replay/replay-name

Regra

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

Barramento de eventos

arn:aws:events:region:account:event-bus/event-bus-name

Todos os recursos do EventBridge

arn:aws:events:*

Todos os recursos do EventBridge pertencentes à conta especificada na região especificada

arn:aws:events:region:account:*

O exemplo a seguir mostrar como indicar uma regra específica (myRule) em sua declaração usando o ARN.

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

Para especificar todas as regras pertencentes a uma conta específica usando o curinga de asterisco (*), conforme o seguinte:

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

Para especificar todos os recursos ou se uma ação de API específica não for compatível com ARNs, use o curinga de asterisco (*) no elemento Resource, conforme o seguinte:

"Resource": "*"

Para especificar vários recursos ou PutTargets em uma única instrução, separe seus ARNs com vírgulas, conforme o seguinte:

"Resource": ["arn1", "arn2"]

Propriedade do recurso

Uma conta é proprietária dos recursos da conta, independentemente de quem os cria. Isto é, o proprietário do recurso é a conta da entidade principal, a conta do usuário-raiz, um usuário ou perfil do IAM que autentica a solicitação que cria o recurso. Os exemplos a seguir mostram como isso funciona:

  • Se usar as credenciais o usuário-raiz da sua conta para criar uma regra, sua conta será a proprietária do recurso do EventBridge.

  • Se criar um usuário na sua conta e conceder permissões para criar recursos do EventBridge para esse usuário, ele poderá criar recursos do EventBridge. No entanto, sua conta, à qual o usuário pertence, é proprietária dos recursos do EventBridge.

  • Se criar um perfil do IAM na sua conta com permissões para criar recursos do EventBridge, qualquer pessoa que puder assumir o perfil poderá criar recursos do EventBridge. Sua conta, à qual o perfil pertence, é proprietária dos recursos do EventBridge.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do EventBridge. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a referência da política do IAM da no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM;) e as políticas anexadas a um recurso são conhecidas como políticas baseadas em recurso. No EventBridge, é possível usar ambas as políticas baseadas em identidade (políticas do IAM) e recurso.

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou um grupo em sua conta: para conceder a um usuário permissão para visualizar regras no console do Amazon CloudWatch, é possível associar uma política de permissões a um usuário ou a um grupo ao qual o usuário pertence.

  • Anexar uma política de permissões a uma função (grant cross-account permissions): você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na conta A pode criar um perfil para conceder permissões entre contas para outra conta B ou para um serviço da AWS da seguinte forma:

    1. Um administrador da conta A cria um perfil do IAM e anexa uma política de permissões ao perfil que concede permissão em recursos da conta A.

    2. Um administrador da conta A anexa uma política de confiança à função identificando a conta B como a entidade principal, que pode assumir a função.

    3. O administrador da conta B pode delegar permissões para assumir o perfil para todos os usuários na conta B. Fazer isso permite que os usuários na conta B criem ou acessem recursos na conta A. A entidade principal na política de confiança também pode ser a entidade principal do serviço da AWS para conceder a um serviço da AWS as permissões para assumir o perfil.

    Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.

É possível criar políticas do IAM específicas para restringir as chamadas e os recursos a que os usuários em sua conta têm acesso e associar essas políticas aos usuários. Para obter mais informações sobre como criar perfis do IAM e ver exemplos de declarações de política do IAM no CodeCommit, consulte Como gerenciar permissões de acesso aos seus recursos do Amazon EventBridge.

Políticas baseadas em recursos (Políticas do IAM)

Quando uma regra é executada no EventBridge, todos os destinos associados à regra são invocados, o que significa invocar as funções do AWS Lambda, publicar nos tópicos do Amazon SNS ou retransmitir o evento para os fluxos do Amazon Kinesis. Para fazer chamadas de API para os seus próprios recursos, o EventBridge precisa das permissões adequadas. Para recursos do Lambda, do Amazon SNS e do Amazon SQS, o EventBridge conta com políticas baseadas em recursos. Para fluxos do Kinesis, o EventBridge usa perfis do IAM.

Para obter mais informações sobre como criar perfis do IAM e explorar instruções de política baseadas em recursos do EventBridge, consulte Como usar políticas baseadas em recursos para esquemas do Amazon EventBridge.

Especificar elementos da política: ações, efeitos e entidades principais

Para cada recurso do EventBridge, o EventBridge define um conjunto de operações da API. Para conceder permissões a essas operações da API, o EventBridge define um conjunto de ações que podem ser especificadas em uma política. Algumas operações da API exigem permissões para mais de uma ação para realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte Recursos do EventBridge e Referência de permissões do Amazon EventBridge.

Estes são os elementos de política básicos:

  • Recurso: use um nome do recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte Recursos do EventBridge.

  • Ação: use palavras-chave para identificar as operações de recurso que deseja permitir ou negar. Por exemplo, a permissão events:Describe permite que o usuário execute a operação Describe.

  • Efeito: especifique permitir ou negar. Se não conceder (permitir) explicitamente acesso a um recurso, o acesso estará negado. Também é possível negar explicitamente o acesso a um recurso para ter certeza de que um usuário não conseguirá acessá-lo, mesmo que uma política diferente conceda acesso.

  • Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência da política JSON do IAM no Manual do usuário do IAM.

Para obter informações sobre ações de API do EventBridge e os recursos aos quais elas se aplicam, consulte Referência de permissões do Amazon EventBridge.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condição no Guia do usuário do IAM.

Para expressar condições, são usadas chaves de condição. Existem chaves de condição da AWS chaves específicas do EventBridge que podem ser usadas de forma adequada. Para obter uma lista completa de chaves da AWS, consulte Chaves disponíveis para condições no Guia do usuário do IAM. Para obter uma lista completa de chaves específicas do EventBridge, consulte Uso de condições de política do IAM para controle de acesso refinado.