在 AWS 帳戶之間傳送和接收 Amazon EventBridge 事件 - Amazon EventBridge
授予權限以允許來自其他 AWS 帳戶的事件AWS 帳戶之間事件的規則建立在 AWS 帳戶之間傳送事件的規則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS 帳戶之間傳送和接收 Amazon EventBridge 事件

您可以設 EventBridge 定在 AWS 帳戶中的事件匯流排之間傳送和接收事件。當您設定 EventBridge 為在帳戶之間傳送或接收事件時,您可以指定哪些 AWS 帳戶可以從帳戶中的事件匯流排傳送事件或從事件匯流排接收事件。您也可以允許或拒絕來自與事件匯流排相關聯之特定規則的事件,或來自特定來源的事件。如需詳細資訊,請參閱使用 Amazon EventBridge 資源政策簡化跨帳戶存取

注意

如果您使用 AWS Organizations,則可以指定組織並授與該組織中所有帳戶的存取權。此外,傳送事件匯流排在傳送事件至其他帳戶時,必須附加 IAM 角色。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的什麼是 AWS Organizations

注意

如果您使用「事件管理員」回應計劃作為目標,預設會提供與您帳戶共用的所有回應計劃。

只要目的地區域是支援的區域目的地區域,您就可以在所有區域的相同區域內的帳戶之間傳送和接收事件,以及在不同區域的帳戶之間傳送和接收事件。 AWS

設定 EventBridge 為在不同帳戶中傳送事件或從事件匯流排接收事件的步驟如下:

  • 接收者帳戶上,編輯事件匯流排上的權限,以允許指定的 AWS 帳戶、組織或所有 AWS 帳戶將事件傳送到接收者帳戶。

  • 寄件者帳戶上,設定一或多個將接收者帳戶的事件匯流排作為目標的規則。

    如果寄件者帳戶繼承了從 AWS 組織傳送事件的權限,則寄件者帳戶還必須具有 IAM 角色,其政策能夠將事件傳送到接收者帳戶。如果您使用建立 AWS Management Console 以接收者帳戶中事件匯流排為目標的規則,則會自動建立角色。如果使用 AWS CLI,則必須手動建立角色。

  • 接收者帳戶上,設定一個或多個符合來自寄件者帳戶事件的規則。

從一個帳戶傳送到另一個帳戶的事件,會做為自訂事件向傳送帳戶收費。接收帳戶不收費。如需詳細資訊,請參閱 Amazon EventBridge 定價

接收者帳戶可以設定一個規則,將從寄件者帳戶收到的事件發送到第三個帳戶,但系統不會將這些事件傳送到第三個帳戶。

如果同一帳戶中有三個事件匯流排,並在第一個事件匯流排上設定規則,將事件從第二個事件匯流排轉送至第三個事件匯流排,則這些事件不會傳送至第三個事件匯流排。

下列影片涵蓋帳戶之間的路由事件:

授予權限以允許來自其他 AWS 帳戶的事件

若要從其他帳戶或組織接受事件,您必須先在帳戶的預設事件匯流排上編輯許可。預設事件匯流排會接受來自 AWS 服務、其他授權 AWS 帳戶和PutEvents呼叫的事件。使用附加至事件匯流排的資源型原則授與或拒絕事件匯流排的許可。在策略中,您可以使用 AWS 帳號 ID 將權限授與其他帳戶,或授與使用 AWS 組織 ID 的組織權限。若要進一步了解事件匯流排許可 (包括範例政策) 的更多資訊,請參閱 Amazon EventBridge 事件匯流排的許可

注意

EventBridge 現在需要所有新的跨帳戶事件匯流排目標才能新增 IAM 角色。這僅適用於 2023 年 3 月 2 日之後建立的事件匯流排目標。在該日期之前未透過 IAM 角色所建立的應用程式不受影響。不過,我們建議新增 IAM 角色以授予使用者存取其他帳戶中的資源,因為這樣可確保套用使用服務控制政策 (SCP) 的組織界限,以決定誰可以從組織中的帳戶傳送和接收事件。

重要

如果您選擇接收來自所有 AWS 帳戶的事件,請小心建立只符合要從其他人接收的事件的規則。若要建立更多安全規則,請務必確認每個規則的事件模式包含 Account 欄位,此欄位為一或多個您想接收事件的帳戶,以及這些帳戶的 ID。具有包含 Account (帳戶) 欄位的事件模式的規則,不符合從 Account 欄位中未列出帳戶所傳送的事件。如需詳細資訊,請參閱 Amazon EventBridge 活動

AWS 帳戶之間事件的規則

如果您的帳戶設定為接收來自其他 AWS 帳戶的事件匯流排的事件,您可以撰寫符合這些事件的規則。設定規則的事件模式,以符合您從其他帳戶所接收的事件。

除非您在規則的事件模式中指定 account,否則任何您帳戶中符合從其他帳戶内事件匯流排接收事件的新規則或現有規則,都將會根據這些事件而觸發。如果您正從其他帳戶接收事件,且您需要規則僅在規則從您自己的帳戶生成事件模式時觸發該事件模式,您必須新增 account 並指定自己的帳戶 ID 到規則的事件模式。

如果您將帳戶設定為接受來自所有 AWS 帳戶中事件匯流排的事件,我們強烈建議您將 AWS 帳戶中的每個 EventBridge 規則新增account至您帳戶中的每個規則。這樣可以防止您帳戶中的規則觸發來自未知 AWS 帳號的事件。當您在規則中指定 account 欄位時,您可以在該欄位中指定多個 AWS 帳戶的帳戶 ID。

若要針對您已授與權限的 AWS 帳戶中任何事件匯流排的相符事件觸發規則,請勿在規則account欄位中指定 *。這麼做就不會有任何事件符合,因為 * 絕不會出現在事件的 account 欄位中。反而會省略規則中的 account 欄位。

建立在 AWS 帳戶之間傳送事件的規則

將另一個帳戶中的事件匯流排指定為目標是建立規則的一部分。

使用主控台建立將事件傳送至不同 AWS 帳戶的規則

  1. 然後依照 建立回應事件的 Amazon EventBridge 規則。 程序中的步驟進行操作。

  2. 選取目標 步驟中,當系統提示您選擇目標類型時:

    1. 選擇EventBridge 活動公共汽車

    2. 選取不同帳戶或地區中的事件匯流排

    3. 針對作為目標的事件匯流排,輸入您要使用的事件匯流排的 ARN。

  3. 依照下列程序步驟,完成建立規則的操作。