管理對您 Amazon EventBridge 資源的存取許可 - Amazon EventBridge
資源和操作資源擁有權管理資源存取指定政策元素:動作、效果和主體在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理對您 Amazon EventBridge 資源的存取許可

您可以使用以身分識別為基礎以資源為基礎的政策來管理 EventBridge 資源 (例如規則事件) 的存取權。

EventBridge 資源

EventBridge 資源和子資源各與唯一的 Amazon Resource Name (ARN) 相關聯。您可以在 EventBridge 接中使用 ARN 來建立事件模式。如需 ARN 的詳細資訊,請參閱 Amazon Web Services 一般參考 中的 Amazon Resource Name (ARN) 與 AWS 服務命名空間

如需 EventBridge 為使用資源所提供的作業清單,請參閱 Amazon EventBridge 許可參考

注意

大多數的 AWS 服務會將 ARN 中的冒號 (:) 或正斜線 (/) 視為相同字元。但是,EventBridge 會在事件模式和規則中使用完全相符。在建立事件模式時,請務必使用正確的 ARN 字元,使這些字元符合您要比對事件中的 ARN 語法。

下表顯示 EventBridge 的資源。

資源類型 ARN 格式

存檔

arn:aws:events:region:account:archive/archive-name

重新播放

arn:aws:events:region:account:replay/replay-name

規則

arn:aws:events:region:account:rule/[event-bus-name]/rule-name

事件匯流排

arn:aws:events:region:account:event-bus/event-bus-name

所有 EventBridge 資源

arn:aws:events:*

在指定區域中,指定之帳戶擁有的所有 EventBridge 資源

arn:aws:events:region:account:*

以下範例展示如何在您的陳述式中使用其 ARN 指定特定的規則 (myRule)。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/myRule"

若要透過使用星號 (*) 萬用字元指定所有屬於特定帳戶的規則,如下所示。

"Resource": "arn:aws:events:us-east-1:123456789012:rule/*"

若要指定所有資源,或如果特定的 API 動作不支援 ARN,請在 Resource 元素中使用星號 (*) 萬用字元,如下所示。

"Resource": "*"

若要在單一陳述式中指定多項資源或 PutTargets,請用逗號分隔其 ARN,如下所示。

"Resource": ["arn1", "arn2"]

資源擁有權

帳戶擁有資源內的資源,無論資源的建立者是誰。資源擁有者就是驗證建立資源請求之 主體實體 (根使用者、IAM 使用者或 IAM 角色) 的 AWS 帳戶。下列範例說明其如何運作:

  • 如果您使用帳戶的根使用者憑證來建立規則,則您的帳戶即為 EventBridge 資源的擁有者。

  • 如果您在帳戶中建立使用者,並將建立 EventBridge 資源的許可授予該使用者,則該使用者可以建立 EventBridge 資源。不過,您的帳戶 (也是該使用者所屬的帳戶) 擁有該 EventBridge 資源。

  • 如果您在您的帳戶中,建立了擁有可建立 EventBridge 資源之許可的 IAM 角色,則任何可能擔任該角色的人都能建立 EventBridge 資源。您的帳戶 (即該角色所屬帳戶) 擁有這些 EventBridge 資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節著重討論如何在 ​EventBridge 的環境中使用 IAM,它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱《IAM 使用者指南》中的什麼是 IAM?。如需有關 IAM 政策語法和說明的資訊,請參閱《IAM 使用者指南》中的 IAM 政策參考

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策),而連接到資源的政策參考資源類型政策。在 EventBridge 中,您可以合併使用身分類型 (IAM 政策) 和資源類型政策。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:

  • 將許可政策連接至您帳戶中的使用者或群組:若要授予使用者在 Amazon CloudWatch 主控台檢視日誌的許可,您可以將許可政策連接至使用者,或使用者所屬的群組。

  • 將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,帳戶 A 的管理員可以建立角色,將跨帳戶許可授予另一個 B 帳戶或某個 AWS 服務,如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

    3. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這樣可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。信任政策中的主體也可以是 AWS 服務主體,將擔任該角色的許可授予 AWS 服務。

    如需使用 IAM 來委派許可的詳細資訊,請參閱《IAM 使用者指南》中的存取管理

您可以建立特定 IAM 政策,限制您帳戶中的使用者有權存取的呼叫和資源,然後將那些政策連接到使用者。如需有關如何建立 IAM 角色,以及探索範例 IAM 政策陳述式的詳細資訊,請參閱 管理對您 Amazon EventBridge 資源的存取許可

以資源爲基礎的政策 (IAM 政策)

在 EventBridge 中執行規則時,會調用與該規則關聯的所有目標,也就是調用 AWS Lambda 函數、發佈到 Amazon SNS 主題,或將事件轉送至 Amazon Kinesis 串流。若要能夠根據您所擁有的資源進行 API 呼叫,EventBridge 需要適當的許可。對於 Lambda, Amazon SNS 和 Amazon SQS 資源,EventBridge 會使用基於資源的政策。對於 Kinesis 串流,EventBridge 使用 IAM 角色。

如需有關如何建立 IAM 角色,以及探索適用於 EventBridge 的以資源為基礎的範例政策陳述式的詳細資訊,請參閱 將以資源為基礎的政策用於 Amazon EventBridge

指定政策元素:動作、效果和主體

對於每項 EventBridge 資源,EventBridge 定義一組 API 操作。EventBridge 定義一組您可在政策中指定的動作,以授予這些 API 操作的許可。某些 API 操作可能需要多個動作的許可來執行 API 操作。如需資源與 API 操作的詳細資訊,請參閱 EventBridge 資源Amazon EventBridge 許可參考.

以下是基本的政策元素:

  • 資源:使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需更多詳細資訊,請參閱 EventBridge 資源

  • 動作:使用動作關鍵字來識別您要允許或拒絕的資源操作。例如,events:Describe 許可允許使用者執行 Describe 操作。

  • 效果:指定允許拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源的存取權,這樣做可以確保使用者無法存取資源,即使另有其他政策授與存取。

  • 主體:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含主體。對於資源類型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源類型政策)。

如需 IAM 政策語法和說明的詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策參考

如需 EventBridge API 動作表和它們所套用的資源,請參閱 Amazon EventBridge 許可參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件

欲定義條件,您可以使用條件鍵。有您可以視需要使用的 AWS 條件金鑰和 EventBridge 特定鍵。如需全 AWS 鍵的完整清單,請參閱《IAM 使用者指南》中的可用的條件索引鍵。如需 EventBridge 專屬索引鍵的完整清單,請參閱 使用 IAM 政策條件進行精細定義存取控制