Usando políticas baseadas em recursos para a Amazon EventBridge - Amazon EventBridge

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em recursos para a Amazon EventBridge

Quando uma regra é executada EventBridge, todos os alvos associados à regra são invocados. As regras podem invocar AWS Lambda funções, publicar em tópicos do Amazon SNS ou retransmitir o evento para os streams do Kinesis. Para fazer chamadas de API com base nos recursos que você possui, EventBridge precisa das permissões apropriadas. Para recursos do Lambda, Amazon SNS, Amazon SQS e CloudWatch Amazon Logs, usa políticas baseadas em recursos. EventBridge Para streams do Kinesis, EventBridge usa políticas baseadas em identidade.

Você usa o AWS CLI para adicionar permissões aos seus alvos. Para obter informações sobre como instalar e configurar o AWS CLI, consulte Como configurar o AWS Command Line Interface no Guia do AWS Command Line Interface usuário.

Permissões do Amazon API Gateway

Para invocar seu endpoint do Amazon API Gateway usando uma EventBridge regra, adicione a seguinte permissão à política do seu endpoint do API Gateway.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "execute-api:Invoke", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:events:region:account-id:rule/rule-name" } }, "Resource": [ "execute-api:/stage/GET/api" ] } ] }

CloudWatch Permissões de registros

Quando o CloudWatch Logs é o alvo de uma regra, EventBridge cria fluxos de registro e o CloudWatch Logs armazena o texto dos eventos como entradas de registro. EventBridge Para permitir a criação do fluxo de registros e o registro dos eventos, CloudWatch os registros devem incluir uma política baseada em recursos que permita EventBridge a CloudWatch gravação nos registros.

Se você usar o AWS Management Console para adicionar CloudWatch registros como destino de uma regra, a política baseada em recursos será criada automaticamente. Se você usar o AWS CLI para adicionar o destino e a política ainda não existir, você deverá criá-la.

O exemplo a seguir permite EventBridge gravar em todos os grupos de registros que têm nomes que começam com/aws/events/. Se usar uma política diferente para dar nome a esses tipos de logs, ajuste a política de acordo com a necessidade.

{ "Statement": [ { "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Principal": { "Service": ["events.amazonaws.com", "delivery.logs.amazonaws.com"] }, "Resource": "arn:aws:logs:region:account:log-group:/aws/events/*:*", "Sid": "TrustEventsToStoreLogEvent" } ], "Version": "2012-10-17" }

Para mais informações, consulte o guia PutResourcePolicyde referência da API CloudWatch Logs.

AWS Lambda permissões

Para invocar sua AWS Lambda função usando uma EventBridge regra, adicione a seguinte permissão à política da sua função Lambda.

{ "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:region:account-id:function:function-name", "Principal": { "Service": "events.amazonaws.com" }, "Condition": { "ArnLike": { "AWS:SourceArn": "arn:aws:events:region:account-id:rule/rule-name" } }, "Sid": "InvokeLambdaFunction" }
Para adicionar as permissões acima que permitem EventBridge invocar funções Lambda usando o AWS CLI
  • Em um prompt de comando, digite o seguinte comando.

    aws lambda add-permission --statement-id "InvokeLambdaFunction" \ --action "lambda:InvokeFunction" \ --principal "events.amazonaws.com" \ --function-name "arn:aws:lambda:region:account-id:function:function-name" \ --source-arn "arn:aws:events:region:account-id:rule/rule-name"

Para obter mais informações sobre a configuração de permissões que permitem EventBridge invocar funções do Lambda, AddPermissionconsulte Como usar o Lambda com eventos agendados no Guia do desenvolvedor.AWS Lambda

Permissões do Amazon SNS

Para permitir EventBridge a publicação em um tópico do Amazon SNS, use o aws sns get-topic-attributes e os aws sns set-topic-attributes comandos.

nota

Você não pode usar Condition blocos nas políticas de tópicos do Amazon SNS para. EventBridge

Para adicionar permissões que permitam EventBridge publicar tópicos do SNS
  1. Para listar os atributos de um tópico do SNS, use o comando a seguir.

    aws sns get-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name"

    O exemplo a seguir mostra o resultado de um novo tópico do SNS.

    { "Attributes": { "SubscriptionsConfirmed": "0", "DisplayName": "", "SubscriptionsDeleted": "0", "EffectiveDeliveryPolicy": "{\"http\":{\"defaultHealthyRetryPolicy\":{\"minDelayTarget\":20,\"maxDelayTarget\":20,\"numRetries\":3,\"numMaxDelayRetries\":0,\"numNoDelayRetries\":0,\"numMinDelayRetries\":0,\"backoffFunction\":\"linear\"},\"disableSubscriptionOverrides\":false}}", "Owner": "account-id", "Policy": "{\"Version\":\"2012-10-17\",\"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceOwner\":\"account-id\"}}}]}", "TopicArn": "arn:aws:sns:region:account-id:topic-name", "SubscriptionsPending": "0" } }
  2. Use um Conversor de JSON para string para converter a seguinte declaração em uma string.

    { "Sid": "PublishEventsToMyTopic", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account-id:topic-name" }

    Depois de converter a instrução em uma string, ela deve ter a seguinte aparência:

    {\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}
  3. Adicione a string que criada na etapa anterior à coleção de "Statement" dentro do atributo "Policy".

  4. Use o comando aws sns set-topic-attributes para especificar a nova política.

    aws sns set-topic-attributes --topic-arn "arn:aws:sns:region:account-id:topic-name" \ --attribute-name Policy \ --attribute-value "{\"Version\":\"2012-10-17\",\"Id\":\"__default_policy_ID\",\"Statement\":[{\"Sid\":\"__default_statement_ID\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"*\"},\"Action\":[\"SNS:GetTopicAttributes\",\"SNS:SetTopicAttributes\",\"SNS:AddPermission\",\"SNS:RemovePermission\",\"SNS:DeleteTopic\",\"SNS:Subscribe\",\"SNS:ListSubscriptionsByTopic\",\"SNS:Publish\"],\"Resource\":\"arn:aws:sns:region:account-id:topic-name\",\"Condition\":{\"StringEquals\":{\"AWS:SourceOwner\":\"account-id\"}}}, {\"Sid\":\"PublishEventsToMyTopic\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"events.amazonaws.com\"},\"Action\":\"sns:Publish\",\"Resource\":\"arn:aws:sns:region:account-id:topic-name\"}]}"

Para obter mais informações, consulte a SetTopicAttributesação na Referência da API do Amazon Simple Notification Service.

Permissões do Amazon SQS

Para permitir que uma EventBridge regra invoque uma fila do Amazon SQS, use aws sqs get-queue-attributes os comandos e. aws sqs set-queue-attributes

Se a política da fila SQS estiver vazia, primeiro será preciso criar uma política e depois adicionar a declaração de permissões a ela. Uma nova fila SQS tem uma política vazia.

Se a fila do SQS já tiver uma política, será preciso copiar a política original e combiná-la com uma nova instrução para adicionar a declaração de permissões a ela.

Para adicionar permissões que permitem que EventBridge as regras invocem uma fila SQS
  1. Para listar os atributos da fila do SQS. Em um prompt de comando, digite o seguinte comando.

    aws sqs get-queue-attributes \ --queue-url https://sqs.region.amazonaws.com/account-id/queue-name \ --attribute-names Policy
  2. Adicione a instrução a seguir.

    { "Sid": "AWSEvents_custom-eventbus-ack-sqs-rule_dlq_sqs-rule-target", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:region:account-id:queue-name", "Condition": { "ArnEquals": { "aws:SourceArn": "arn:aws:events:region:account-id:rule/bus-name/rule-name" } } }
  3. Use um Conversor de JSON para string para converter a declaração anterior em uma string. Depois de converter a política em uma string, ela deve ter a seguinte aparência:

    {\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}
  4. Crie um arquivo denominado set-queue-attributes.json com o seguinte conteúdo.

    { "Policy": "{\"Version\":\"2012-10-17\",\"Id\":\"arn:aws:sqs:region:account-id:queue-name/SQSDefaultPolicy\",\"Statement\":[{\"Sid\": \"EventsToMyQueue\", \"Effect\": \"Allow\", \"Principal\": {\"Service\": \"events.amazonaws.com\"}, \"Action\": \"sqs:SendMessage\", \"Resource\": \"arn:aws:sqs:region:account-id:queue-name\", \"Condition\": {\"ArnEquals\": {\"aws:SourceArn\": \"arn:aws:events:region:account-id:rule/rule-name\"}}}]}" }
  5. Defina o atributo da política usando o arquivo set-queue-attributes.json que acabou de criar como entrada, conforme mostrado no comando a seguir.

    aws sqs set-queue-attributes \ --queue-url https://sqs.region.amazonaws.com/account-id/queue-name \ --attributes file://set-queue-attributes.json

Para obter mais informações, consulte os exemplos de políticas do Amazon SQS no Guia do desenvolvedor do Amazon Simple Queue Service.

EventBridge Especificações de tubos

EventBridge O Pipes não suporta políticas baseadas em recursos e não tem APIs que suportem condições de políticas baseadas em recursos.

No entanto, se você configurar o acesso ao pipe por meio de uma interface VPC endpoint, esse VPC endpoint suportará políticas de recursos que permitem gerenciar o acesso às APIs do Pipe. EventBridge Para obter mais informações, consulte Usando a Amazon EventBridge com endpoints de interface VPC .