本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Pip EventBridge es 的事件源权限
设置管道时,您可以使用现有的执行角色,也可以为您 EventBridge 创建一个具有所需权限的执行角色。Pip EventBridge es 所需的权限因源类型而异,如下所示。如果您要设置自己的执行角色,必须自行添加这些权限。
注意
如果您不确定访问源所需的确切范围明确的权限,请使用 Pip EventBridge es 控制台创建新角色,然后检查策略中列出的操作。
主题
DynamoDB 执行角色权限
对于 DynamoDB Streams,Pi EventBridge pes 需要以下权限才能管理与您的 DynamoDB 数据流相关的资源。
要将失败批次的记录发送到管道死信队列,您的管道执行角色需要以下权限:
Kinesis 执行角色权限
对于 Kinesis,Pip EventBridge es 需要以下权限才能管理与你的 Kinesis 数据流相关的资源。
要将失败批次的记录发送到管道死信队列,您的管道执行角色需要以下权限:
Amazon MQ 执行角色权限
对于亚马逊 MQ,Pip EventBridge es 需要以下权限才能管理与您的亚马逊 MQ 消息代理相关的资源。
Amazon MSK 执行角色权限
对于 Amazon MSK, EventBridge 需要以下权限才能管理与您的亚马逊 MSK 主题相关的资源。
注意
如果您使用基于 IAM 角色的身份验证,则除了下面列出的权限外,您的执行角色还需要 基于 IAM 角色的身份验证 中列出的权限。
自托管 Apache Kafka 执行角色权限
对于自我管理的 Apache Kafka, EventBridge 需要以下权限才能管理与自我管理的 Apache Kafka 流相关的资源。
所需的权限
要在 Amazon Logs 的日志组中创建和存储 CloudWatch 日志,您的管道在其执行角色中必须具有以下权限:
可选权限
您的管道还可能需要权限来:
描述您的 Secrets Manager 密钥。
访问您的 AWS Key Management Service (AWS KMS) 客户托管密钥。
访问 Amazon VPC。
Secrets Manager 和 AWS KMS 权限
根据您为 Apache Kafka 代理配置的访问控制类型,您的管道可能需要访问您的 Secrets Manager 密钥或解密 AWS KMS 客户管理的密钥的权限。要连接到这些资源,函数的执行角色必须具有以下权限:
VPC 权限
如果只有 VPC 内的用户才能访问您的自托管 Apache Kafka 集群,您的管道必须具有访问 Amazon VPC 资源的权限。这些资源包括您的 VPC、子网、安全组和网络接口。要连接到这些资源,管道的执行角色必须具有以下权限:
Amazon SQS 执行角色权限
对于亚马逊 SQS, EventBridge 需要以下权限才能管理与您的亚马逊 SQS 队列相关的资源。
富集和目标权限
要对您拥有的资源进行 API 调用,Pi EventBridge pes 需要适当的权限。 EventBridge Pipes 使用您在管道上指定的 IAM 角色进行扩充和使用 IAM 委托人进行目标调用pipes.amazonaws.com。
