As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (políticas do IAM) para a Amazon EventBridge
As políticas baseadas em identidade são políticas de permissões anexadas a identidades do IAM.
Tópicos
AWS políticas gerenciadas para EventBridge
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Políticas gerenciadas, ou predefinidas, concedem as permissões necessárias para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.
As seguintes políticas AWS gerenciadas que você pode anexar aos usuários em sua conta são específicas para EventBridge:
-
AmazonEventBridgeFullAccess— Concede acesso total a EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e EventBridge Scheduler.
-
AmazonEventBridgeReadOnlyAccess— Concede acesso somente de leitura a EventBridge, incluindo EventBridge Pipes, EventBridge Schemas e Scheduler. EventBridge
AmazonEventBridgeFullAccess política
A AmazonEventBridgeFullAccess política concede permissões para usar todas EventBridge as ações, bem como as seguintes permissões:
-
iam:CreateServiceLinkedRole— EventBridge requer essa permissão para criar a função de serviço em sua conta para destinos de API. Esta permissão concede somente ao serviço do IAM permissões para criar um perfil em sua conta especificamente para destinos de API. -
iam:PassRole— EventBridge requer essa permissão para passar uma função de invocação para EventBridge invocar o destino de uma regra. -
Permissões do Secrets Manager — EventBridge exigem essas permissões para gerenciar segredos em sua conta quando você fornece credenciais por meio do recurso de conexão para autorizar destinos de API.
O JSON a seguir mostra a AmazonEventBridgeFullAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsFullAccess. No entanto, é altamente recomendável que você use a Amazon EventBridge em vez da Amazon CloudWatch Events.
AmazonEventBridgeReadOnlyAccess política
A AmazonEventBridgeReadOnlyAccess política concede permissões para usar todas as EventBridge ações de leitura.
O JSON a seguir mostra a AmazonEventBridgeReadOnlyAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
nota
As informações nesta seção também se aplicam à política CloudWatchEventsReadOnlyAccess. No entanto, é altamente recomendável que você use a Amazon EventBridge em vez da Amazon CloudWatch Events.
EventBridge Políticas gerenciadas específicas do esquema
Um esquema define a estrutura dos eventos para os quais são enviados EventBridge. EventBridge fornece esquemas para todos os eventos gerados pelos AWS serviços. As seguintes políticas AWS gerenciadas específicas para EventBridge esquemas estão disponíveis:
EventBridge Políticas gerenciadas específicas do agendador
O Amazon EventBridge Scheduler é um programador sem servidor que permite criar, executar e gerenciar tarefas a partir de um serviço gerenciado central. Para políticas AWS gerenciadas específicas do EventBridge Scheduler, consulte políticas AWS gerenciadas para o EventBridge Scheduler no Guia do usuário do EventBridge Scheduler.
EventBridge Políticas gerenciadas específicas para tubos
O Amazon EventBridge Pipes conecta as fontes de eventos aos alvos. O Pipes reduz a necessidade de conhecimento especializado e de código de integração ao desenvolver arquiteturas orientada por eventos. Isto ajuda a garantir a consistência em todas as aplicações da sua empresa. As seguintes políticas AWS gerenciadas específicas do EventBridge Pipes estão disponíveis:
AmazonEventBridgePipesFullAccess
Fornece acesso total ao Amazon EventBridge Pipes.
nota
Esta política fornece
iam:PassRole— EventBridge Pipes requer essa permissão para passar uma função de invocação EventBridge para criar e iniciar pipes.AmazonEventBridgePipesReadOnlyAccess
Fornece acesso somente para leitura ao Amazon EventBridge Pipes.
AmazonEventBridgePipesOperatorAccess
Fornece acesso somente de leitura e de operador (ou seja, a capacidade de parar e começar a executar o Pipes) ao Amazon EventBridge Pipes.
Perfis do IAM para o envio de eventos
Para retransmitir eventos para alvos, EventBridge precisa de uma função do IAM.
Para criar uma função do IAM para enviar eventos para EventBridge
Abra o console IAM em https://console.aws.amazon.com/iam/
. -
Para criar uma função do IAM, siga as etapas em Criação de uma função para delegar permissões a um AWS serviço no Guia do usuário do IAM. À medida que você realizar as etapas, observe o seguinte:
-
Em Nome do perfil, use um nome que seja exclusivo em sua conta.
-
Em Selecionar tipo de função, escolha AWS Service Roles e, em seguida, escolha Amazon EventBridge. Isso concede EventBridge permissões para assumir a função.
-
Em Anexar política, escolha AmazonEventBridgeFullAccess.
-
Você também pode criar suas próprias políticas personalizadas do IAM para permitir permissões para EventBridge ações e recursos. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões. Para obter mais informações sobre políticas do IAM, consulte Visão geral das políticas do IAM no Guia do usuário do IAM. Para obter mais informações sobre o gerenciamento e a criação de políticas personalizadas do IAM, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM.
Permissões necessárias EventBridge para acessar destinos usando funções do IAM
EventBridge Os destinos geralmente exigem funções do IAM que concedam permissão EventBridge para invocar o destino. A seguir estão alguns exemplos de vários AWS serviços e alvos. Para outros, use o EventBridge console para criar uma regra e criar uma nova função que será criada com uma política com permissões bem definidas pré-configuradas.
Amazon SQS, Amazon SNS, CloudWatch Lambda, Logs e destinos de barramento não usam funções EventBridge , e EventBridge as permissões devem ser concedidas por meio de uma política de recursos. Os destinos do API Gateway podem usar políticas de recursos ou perfis do IAM.
Se o destino for um destino da API, o perfil especificado deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }
Se o destino for um fluxo do Kinesis, o perfil usado para enviar dados de eventos para o destino deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Se o destino for o comando executar do Systems Manager e forem especificados um ou mais valores InstanceIds para o comando, o perfil especificado deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for o comando executar do Systems Manager e você especificar uma ou mais tags para o comando, o perfil que você especificar deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }
Se o destino for uma máquina de AWS Step Functions estado, a função especificada deverá incluir a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }
Se o destino for uma tarefa do Amazon ECS, o perfil especificado deverá incluir a seguinte política:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }
A política a seguir permite que alvos EventBridge incorporados executem ações do Amazon EC2 em seu nome. Você precisa usar o AWS Management Console para criar regras com alvos integrados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }
A política a seguir permite EventBridge retransmitir eventos para os streams do Kinesis em sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }
Exemplo de política gerenciada pelo cliente: uso de marcações para controlar o acesso às regras
O exemplo a seguir mostra uma política de usuário que concede permissões para EventBridge ações. Essa política funciona quando você usa a EventBridge API, AWS os SDKs ou o. AWS CLI
Você pode conceder aos usuários acesso a EventBridge regras específicas e, ao mesmo tempo, impedir que eles acessem outras regras. Para fazer isso, marque ambos os conjuntos de regras e use as políticas do IAM que se referem a essas tags. Para obter mais informações sobre a marcação de EventBridge recursos, consulte EventBridge Etiquetas da Amazon.
É possível conceder uma política do IAM a um usuário para permitir acesso apenas às regras com uma determinada tag. As regras são escolhidas para conceder acesso ao marcá-las com esta tag específica. Por exemplo, a política a seguir concede acesso a regras com o valor Prod para a chave de tag Stack.
{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }
Para obter mais informações sobre como usar instruções de política do IAM, consulte Controlar o acesso usando políticas no Manual do usuário do IAM.
EventBridge Atualizações da Amazon para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas EventBridge desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do EventBridge documento.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonEventBridgeFullAccess: política atualizada |
AWS GovCloud (US) Regions somente A permissão a seguir não está incluída, pois não é usada:
|
9 de maio de 2024 |
|
AmazonEventBridgeSchemasFullAccess: política atualizada |
AWS GovCloud (US) Regions somente A permissão a seguir não está incluída, pois não é usada:
|
9 de maio de 2024 |
|
AmazonEventBridgePipesFullAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para permissões completas de uso do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesReadOnlyAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para permissões para visualizar os recursos EventBridge de informações do Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgePipesOperatorAccess— Nova política adicionada |
EventBridge adicionou uma política gerenciada para obter permissões para visualizar as informações do EventBridge Pipes, bem como iniciar e parar de operar os tubos. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
EventBridge atualizou a política para incluir as permissões necessárias para usar os recursos do EventBridge Pipes. |
1º de dezembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar os recursos EventBridge de informações do Pipes. As seguintes ações foram adicionadas:
|
1º de dezembro de 2022 |
|
CloudWatchEventsReadOnlyAccess: atualização para uma política existente |
Atualizado para corresponder AmazonEventBridgeReadOnlyAccess. |
1º de dezembro de 2022 |
|
CloudWatchEventsFullAccess: atualização para uma política existente |
Atualizado para corresponder AmazonEventBridgeFullAccess. |
1º de dezembro de 2022 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
EventBridge atualizou a política para incluir as permissões necessárias para usar esquemas e recursos do agendador. As seguintes permissões foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar os recursos de informações do esquema e do agendador. As seguintes ações foram adicionadas:
|
10 de novembro de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar as informações do endpoint. As seguintes ações foram adicionadas:
|
7 de abril de 2022 |
|
AmazonEventBridgeReadOnlyAccess: atualização para uma política existente |
EventBridge adicionou as permissões necessárias para visualizar as informações de conexão e destino da API. As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
AmazonEventBridgeFullAccess: atualização para uma política existente |
EventBridge atualizou a política para incluir As seguintes ações foram adicionadas:
|
4 de março de 2021 |
|
EventBridge começou a rastrear alterações |
EventBridge começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
4 de março de 2021 |
