As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar políticas baseadas em identidade (políticas do IAM) para o Amazon EventBridge
As políticas baseadas em identidade são políticas de permissões anexadas a identidades do IAM.
Tópicos
- Políticas gerenciadas da AWS para o EventBridge Scheduler
- Permissões necessárias para que o EventBridge acesse destinos usando perfis do IAM
- Exemplo de política gerenciada pelo cliente: uso de marcações para controlar o acesso às regras
- Atualizações do Amazon EventBridge para políticas gerenciadas pela AWS
Políticas gerenciadas da AWS para o EventBridge Scheduler
A AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Políticas gerenciadas, ou predefinidas, concedem as permissões necessárias para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.
As seguintes políticas gerenciadas pelo AWS, que podem ser associadas a usuários em sua conta, são específicas do EventBridge:
-
AmazonEventBridgeFullAccess: concede acesso total ao EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess: concede acesso somente para leitura ao EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
Política de AmazonEventBridgeFullAccess
A política do AmazonEventBridgeFullAccess concede permissões para usar todas as ações do EventBridge, bem como as seguintes permissões:
-
iam:CreateServiceLinkedRole: o EventBridge exige essa permissão para criar o perfil de serviço em sua conta para destinos de API. Esta permissão concede somente ao serviço do IAM permissões para criar um perfil em sua conta especificamente para destinos de API. -
iam:PassRole: o EventBridge exige esta permissão para aprovar um perfil de invocação ao EventBridge para invocar o destino de uma regra. -
Permissões do Secrets Manager: o EventBridge exige essas permissões para gerenciar segredos em sua conta quando credenciais são fornecidas por meio do recurso de conexão para autorizar destinos de API.
O JSON a seguir mostra a política AmazonEventBridgeFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "IAMCreateServiceLinkedRoleForAmazonEventBridgeSchemas", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/schemas.amazonaws.com/AWSServiceRoleForSchemas", "Condition": { "StringEquals": { "iam:AWSServiceName": "schemas.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsFullAccess. No entanto, é altamente recomendável o uso do Amazon EventBridge em vez do Amazon CloudWatch Events.
Política de AmazonEventBridgeReadOnlyAccess
A política do AmazonEventBridgeReadOnlyAccess concede permissões para usar todas as ações de leitura do EventBridge.
O JSON a seguir mostra a política AmazonEventBridgeReadOnlyAccess policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsReadOnlyAccess. No entanto, é altamente recomendável o uso do Amazon EventBridge em vez do Amazon CloudWatch Events.
Políticas gerenciadas e específicas do EventBridge Schema
Um esquema define a estrutura dos eventos que são enviados para o EventBridge. O EventBridge fornece esquemas para todos os eventos gerados pelos serviços da AWS. As seguintes políticas gerenciadas pela AWS e específicas do EventBridge Schemas estão disponíveis:
Políticas gerenciadas e específicas do Agendador do EventBridge
O Agendador do Amazon EventBridge é um agendador sem servidor que permite criar, executar e gerenciar tarefas de um serviço gerenciado central. Para políticas gerenciadas específicas da AWS do Agendador do EventBridge, consulte Políticas gerenciadas da AWS para o Agendador do EventBridge no Guia do Usuário do Agendador EventBridge.
Use as políticas gerenciada e específicas do EventBridge Pipes
O Amazon EventBridge Pipes conecta as origens de eventos aos destinos. O Pipes reduz a necessidade de conhecimento especializado e de código de integração ao desenvolver arquiteturas orientada por eventos. Isto ajuda a garantir a consistência em todas as aplicações da sua empresa. As seguintes políticas gerenciadas pela AWS e específicas do EventBridge Pipes estão disponíveis:
AmazonEventBridgePipesFullAccess
Fornece acesso total ao Amazon EventBridge Pipes.
nota
Esta política fornece
iam:PassRole: o EventBridge Pipes requer esta permissão para passar um perfil de invocação ao EventBridge para criar e iniciar pipes.AmazonEventBridgePipesReadOnlyAccess
Fornece acesso somente leitura ao Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fornece acesso somente leitura e de operador (capacidade de parar e começar a executar Pipes) ao Amazon EventBridge Pipes.
Perfis do IAM para o envio de eventos
Para retransmitir eventos aos destinos, o EventBridge precisa de um perfil do IAM.
Para criar um perfil do IAM para enviar eventos para o EventBridge
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Para criar um perfil do IAM, siga as etapas em Criar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM. À medida que você realizar as etapas, observe o seguinte:
-
Em Nome do perfil, use um nome que seja exclusivo em sua conta.
-
Em Selecionar tipo de perfil, escolha Perfis de serviço da AWS e escolha Amazon EventBridge. Isso concede ao EventBridge permissões para assumir o perfil.
-
Em Anexar política, escolha AmazonEventBridgeFullAccess.
-
Também é possível criar as próprias políticas do IAM personalizadas para conceder permissões para ações e recursos do EventBridge. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões. Para obter mais informações sobre políticas do IAM, consulte Visão geral das políticas do IAM no Guia do usuário do IAM. Para obter mais informações sobre o gerenciamento e a criação de políticas personalizadas do IAM, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM.
Permissões necessárias para que o EventBridge acesse destinos usando perfis do IAM
Os destinos do EventBridge geralmente exigem perfis do IAM que concedam permissão ao EventBridge para invocar o destino. A seguir, alguns exemplos de vários serviços e destinos da AWS. Para outros, use o console do EventBridge para criar uma regra e criar um novo perfil que será criado com uma política com permissões bem definidas pré-configuradas.
Os destinos de barramento do Amazon SQS, Amazon SNS, Lambda, CloudWatch Logs e EventBridge não usam perfis, e as permissões para o EventBridge devem ser concedidas por meio de uma política de recursos. Os destinos do API Gateway podem usar políticas de recursos ou perfis do IAM.
Se o destino for um destino da API, o perfil especificado deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Se o destino for um fluxo do Kinesis, o perfil usado para enviar dados de eventos para o destino deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Se o destino for o comando executar do Systems Manager e forem especificados um ou mais valores InstanceIds para o comando, o perfil especificado deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for o comando executar do Systems Manager e você especificar uma ou mais tags para o comando, o perfil que você especificar deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for uma máquina de estado do AWS Step Functions, a função que você especificar deverá incluir a seguinte política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Se o destino for uma tarefa do Amazon ECS, o perfil especificado deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
A seguinte política permite que destinos integrados no EventBridge executem ações do Amazon EC2 em seu nome. É preciso usar o AWS Management Console para criar regras com destinos integrados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
A seguinte política permite que o EventBridge retransmita eventos para os fluxos do Kinesis em sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Exemplo de política gerenciada pelo cliente: uso de marcações para controlar o acesso às regras
O exemplo a seguir mostra uma política de usuário que concede permissões para as ações do EventBridge. Esta política funciona quando você usa a API do EventBridge, os AWS SDKs ou a AWS CLI.
É possível conceder aos usuários acesso às regras específicas do EventBridge e, ao mesmo tempo, impedi-los de acessar outras regras. Para fazer isso, marque ambos os conjuntos de regras e use as políticas do IAM que se referem a essas tags. Para obter mais informações sobre recursos de marcação do EventBridge, consulte EventBridge Etiquetas da Amazon.
É possível conceder uma política do IAM a um usuário para permitir acesso apenas às regras com uma determinada tag. As regras são escolhidas para conceder acesso ao marcá-las com esta tag específica. Por exemplo, a política a seguir concede acesso a regras com o valor Prod para a chave de tag Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.
Atualizações do Amazon EventBridge para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, assine o feed RSS na página do histórico de documentos do EventBridge.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonEventBridgePipesFullAccess: nova política adicionada |
O EventBridge adicionou uma política gerenciada para obter permissões completas para o uso do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesReadOnlyAccess: nova política adicionada |
O EventBridge adicionou uma política gerenciada para permissões para visualizar os recursos de informações do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesOperatorAccess: nova política adicionada |
O EventBridge adicionou uma política gerenciada para obter permissões para visualizar informações do EventBridge Pipes, bem como iniciar e parar de operar pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
O EventBridge atualizou a política para incluir as permissões necessárias para usar os atributos do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
O EventBridge adicionou as permissões necessárias para visualizar os recursos de informações do EventBridge Pipes. As seguintes ações foram adicionadas:
|
1º de dezembro de 2022 |
|
CloudWatchEventsReadOnlyAccess: atualização para uma política existente |
Atualizado para corresponder ao AmazonEventBridgeReadOnlyAccess. |
1º de dezembro de 2022 |
|
CloudWatchEventsFullAccess: atualização para uma política existente |
Atualizado para corresponder ao AmazonEventBridgeFullAccess. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
O EventBridge atualizou a política para incluir as permissões necessárias para usar os esquemas e atributos do agendador. As seguintes permissões foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
O EventBridge adicionou as permissões necessárias para visualizar recursos de informações de esquemas e do agendador. As seguintes ações foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
O EventBridge adicionou as permissões necessárias para visualizar as informações de endpoint. As seguintes ações foram adicionadas:
|
7 de abril de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
O EventBridge adicionou as permissões necessárias para visualizar as informações de destino da API. As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
O EventBridge atualizou a política para incluir as permissões As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
O EventBridge começou a rastrear alterações |
O EventBridge começou a monitorar as alterações para as políticas gerenciadas da AWS. |
4 de março de 2021 |
