在Amazon账户之间发送和接收亚马逊EventBridge事件 - Amazon EventBridge
授予权限以允许来自其他Amazon账户的事件Amazon账户间事件规则创建在Amazon账户之间发送事件的规则
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在Amazon账户之间发送和接收亚马逊EventBridge事件

您可以配置EventBridge为在Amazon账户中的事件总线之间发送和接收事件。当您配置EventBridge为在账户之间发送或接收事件时,您可以指定哪些Amazon账户可以向您的账户中的事件总线发送事件或接收来自事件总线的事件。您还可以允许或拒绝来自与事件总线关联的特定规则的事件,或来自特定来源的事件。有关更多信息,请参阅使用 Amazon EventBridge 资源策略简化跨账户访问

注意

如果您使用Amazon Organizations,则可以指定组织并向该组织中的所有账户授予访问权限。此外,向其他账户发送事件时,发送事件总线必须附加 IAM 角色。有关更多信息,请参阅《Amazon Organizations 用户指南》中的什么是 Amazon Organizations

注意

如果您使用 Icident Manager 响应计划作为目标,则默认情况下,与您的账户共享的所有响应计划均可用。

只要目标区域是支持的区域目标区域,就可以在所有区域中同一区域的账户中的事件总线之间以及在不同区域的账户之间发送和接收事件。Amazon

配置EventBridge为向其他账户中的事件总线发送事件或从事件总线接收事件的步骤包括:

  • 接收者账户上,编辑事件总线上的权限,以允许指定Amazon账户、组织或所有Amazon账户向接收者账户发送事件。

  • 发送方 账户中,设置一个或多个将接收方账户的事件总线作为目标的规则。

    如果发件人账户继承了从Amazon组织发送事件的权限,则发件人账户还必须具有 IAM 角色以及允许其向接收者账户发送事件的策略。如果您使用Amazon Web Services Management Console来创建针对接收者账户中的事件总线的规则,则会自动创建角色。如果您使用 Amazon CLI,则必须手动创建该角色。

  • 接收方 账户中,设置一个或多个匹配来自发送方账户的事件的规则。

从一个账户发送到另一个账户的事件将作为自定义事件向发送账户收取费用。不向接收账户收费。有关更多信息,请参阅 Amazon EventBridge 定价

如果接收方账户设置了一条将从发送方账户接收的事件发送到第三个账户的规则,则这些事件不会发送到第三个账户。

以下视频涵盖了账户之间的路由事件:

授予权限以允许来自其他Amazon账户的事件

要接收来自其他账户或组织的事件,必须先编辑要接收事件的事件总线上的权限。默认事件总线接受来自 Amazon 服务、其他授权 Amazon 账户和 PutEvents 调用的事件。使用附加到事件总线的基于资源的策略来授予或拒绝事件总线的权限。在策略中,您可以使用账户 ID 向其他Amazon账户授予权限,也可以使用Amazon组织 ID 向组织授予权限。要了解有关事件总线权限(包括示例策略)的更多信息,请参阅亚马逊EventBridge活动总线的权限

注意

EventBridge现在需要所有新的跨账户事件总线目标添加 IAM 角色。这仅适用于 2023 年 3 月 2 日之后创建的活动总线目标。在该日期之前创建的没有 IAM 角色的应用程序不受影响。但是,我们建议添加 IAM 角色以授予用户访问其他账户中资源的权限,因为这样可以确保使用服务控制策略 (SCP) 的组织边界来确定谁可以从您的组织中的账户发送和接收事件。

重要

如果您选择接收来自所有 Amazon 账户的事件,请注意创建仅匹配要从其他账户接收的事件的规则。要创建更安全的规则,请确保每个规则的事件模式都包含一个 Account 字段,其中包含要从其接收事件的一个或多个账户的账户 ID。其事件模式包含“账户”字段的规则与从在 Account 字段中未列出的账户发送的事件不匹配。有关更多信息,请参阅亚马逊EventBridge活动

Amazon账户间事件规则

如果您的账户设置为接收来自其他Amazon账户的事件总线的事件,则可以编写与这些事件相匹配的规则。将规则的事件模式设置为与您从其他账户中的事件总线接收的事件相匹配。

除非您在规则的事件模式account中指定,否则您的账户的任何规则,无论是新规则还是现有规则,只要与您从其他账户中的事件总线接收到的事件相匹配,都会根据这些事件触发。如果您正在接收来自其他账户的事件总线的事件,并且您希望在规则由您自己的账户生成时仅在该事件模式上触发规则,则必须向该规则的事件模式添加account和指定自己的账户 ID。

如果您将账户设置为在所有Amazon账户中接受来自事件总线的事件,我们强烈建议您在Amazon账户中的每EventBridge条规则中添加account规则。这可以防止账户中的规则对来自未知 Amazon 账户的事件触发。在规则中指定 account 字段时,可以在该字段中指定多个 Amazon 账户的账户 ID。

要在您已向其授予权限的Amazon账户中任何事件总线的匹配事件上触发规则,请勿在规则account字段中指定*。这样做不会匹配任何事件,因为 * 从不显示在事件的 account 字段中。相反,只需忽略规则的 account 字段即可。

创建在Amazon账户之间发送事件的规则

将另一个账户中的事件总线指定为目标是创建规则的一部分。

使用控制台创建将事件发送到其他Amazon账户的规则

  1. 按照过程中的创建对事件做出反应的亚马逊EventBridge规则步骤进行操作。

  2. 选择目标步骤中,当提示选择目标类型时:

    1. 选择EventBridge活动巴士

    2. 不同的账户或区域中选择活动总线

    3. 要将事件总线作为目标,请输入要使用的事件总线的 ARN。

  3. 按照过程步骤完成规则的创建。