发送和接收亚马逊EventBridge之间的事件Amazon账户 - Amazon EventBridge
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

发送和接收亚马逊EventBridge之间的事件Amazon账户

您可以配置EventBridge发送和接收事件之间Amazon账户。当你配置时EventBridge要在账户之间发送或接收事件,您可以指定哪些Amazon账户可以将事件发送到或接收来自事件总线在您的账户中。你也可以允许或拒绝来自特定的事件规则与事件总线或来自特定来源的事件相关联。有关更多信息,请参阅 。通过亚马逊简化跨账户访问EventBridge资源策略

注意

如果您使用Amazon Organizations,您可以指定一个组织并授予对该组织中的所有账户的访问权限。有关更多信息,请参阅《Amazon Organizations 用户指南》中的什么是 Amazon Organizations

注意

如果您使用事件管理器响应计划作为目标,则默认情况下,与您的账户共享的所有响应计划均可用。

你可以在之间发送和接收事件Amazon只要目标地区受支持,所有区域中的同一区域内的账户以及不同区域的账户之间的账户跨区域目标区域。

配置的步骤EventBridge要向其他账户发送活动或从其他账户接收活动,请包括以下内容:

  • 在存储库的接收器帐户,编辑事件总线上的权限以允许指定Amazon账户、组织或所有Amazon账户将事件发送到接收者账户。

  • 发送方 账户中,设置一个或多个将接收方账户的事件总线作为目标的规则。

    如果发件人帐户继承了从Amazon Organizations,发送方账户还必须拥有一个 IAM 角色,该角色具有支持它将事件发送到接收方账户的策略。如果您将Amazon Web Services Management Console要创建针对接收方账户中的事件总线的规则,则会自动创建角色。如果您使用 Amazon CLI,则必须手动创建该角色。

  • 接收方 账户中,设置一个或多个匹配来自发送方账户的事件的规则。

从一个账户发送到另一个账户的事件将作为自定义事件向发送账户收取费用。不向接收账户收费。有关更多信息,请参阅 Amazon EventBridge 定价

如果接收方账户设置了一条将从发送方账户接收的事件发送到第三个账户的规则,则这些事件不会发送到第三个账户。

以下视频介绍了账户之间的事件路由:

授予允许来自其他事件的权限Amazon账户

要接收其他账户或组织的事件,您必须先编辑要接收事件的事件总线上的权限。默认事件总线接受来自 Amazon 服务、其他授权 Amazon 账户和 PutEvents 调用的事件。使用附加到事件总线的基于资源的策略授予或拒绝事件总线的权限。在策略中,您可以向其他方面授予权限Amazon使用账户 ID 的账户,或者是Amazon Organizations组织组织 ID。要详细了解事件总线权限,包括示例策略,请参阅Amazon EventBridge 事件总线的权限.

重要

如果您选择接收来自所有 Amazon 账户的事件,请注意创建仅匹配要从其他账户接收的事件的规则。要创建更安全的规则,请确保每个规则的事件模式都包含一个 Account 字段,其中包含要从其接收事件的一个或多个账户的账户 ID。其事件模式包含“账户”字段的规则与从在 Account 字段中未列出的账户发送的事件不匹配。有关更多信息,请参阅 亚马逊EventBridge事件

之间事件的规则Amazon账户

如果您的账户设置为从其他 Amazon 账户接收事件,则可以编写与这些事件进行匹配的规则。设置事件模式以便与您从其他账户接收的事件进行匹配。

除非您在规则的事件模式中指定 account,否则您的账户中与您从其他账户收到的事件进行匹配的任何规则(包括新规则和现有规则)都基于这些事件触发。如果您要从另一个账户接收事件,并且希望仅对从您自己的账户生成的事件模式触发规则,则必须添加 account 并将您自己的账户 ID 指定为规则的事件模式。

如果将您的 Amazon 账户设置为接受来自所有 Amazon 账户的事件,强烈建议您将 account 添加到您账户的每一个 EventBridge 规则中。这可以防止账户中的规则对来自未知 Amazon 账户的事件触发。在规则中指定 account 字段时,可以在该字段中指定多个 Amazon 账户的账户 ID。

要使规则触发来自您已授予权限的任何 Amazon 账户的匹配事件,请不要在规则的 account 字段中指定 *。这样做不会匹配任何事件,因为 * 从不显示在事件的 account 字段中。相反,只需忽略规则的 account 字段即可。

要创建将事件发送到其他方面的规则Amazon使用控制台的账户

  1. 打开亚马逊EventBridge控制台https://console.aws.amazon.com/events/.

  2. 在导航窗格中,选择 Rules (规则)

  3. 选择 Create rule (创建规则)

  4. 为规则输入名称和描述。

    规则不能与同一区域中的另一个规则和同一事件总线上的名称相同。

  5. 适用于事件总线中,选择要与此规则关联的事件总线。如果您希望此规则对来自您自己的账户的匹配事件触发,请选择 Amazon 原定设置事件总线。当您账户中的某个 Amazon 服务发出一个事件时,它始终会发送到您账户的默认事件总线。

  6. 适用于Rule type,选择使用事件模式进行规则.

  7. 请选择 Next (下一步)

  8. 适用于事件源,选择Amazon服务.

  9. (可选)对于示例事件中,选择事件的类型。

  10. 适用于事件模式,请执行以下操作之一:

    • 要使用模板创建活动模式,请选择事件模式表单然后选择事件源Event type. 如果选择所有事件作为事件类型,这个发出的所有事件Amazon服务将符合规则。

      要自定义模板,请选择自定义模式(JSON 编辑器)然后进行您的更改。

    • 要使用自定义事件模式,请选择自定义模式(JSON 编辑器)然后创建你的活动模式。

  11. 请选择 Next (下一步)

  12. 适用于目标类型,选择EventBridge事件总线然后选择另一个事件总线Amazon账户或地区.

  13. 输入要用作目标的事件总线的 ARN。

  14. 对于许多目标类型,EventBridge 需要权限以便将事件发送到目标。在这些情况下,EventBridge可以创建运行您的规则所需的 IAM 角色。请执行下列操作之一:

    • 若要自动创建 IAM 角色,请选择 Create a new role for this specific resource (为此特定资源创建新角色)

    • 要使用您之前创建的 IAM 角色,请选择使用现有角色然后,从下拉列表中选择现有角色。

  15. (可选)对于其他设置中,执行以下操作:

    1. 对于死信队列,选择是否使用标准 Amazon SQS 队列作为死信队列。EventBridge如果与此规则匹配的事件未成功传输到目标,则会将它们发送到死信队列。请执行下列操作之一:

      • 选择不使用死信队列。

      • 在当前 Amazon 帐户中选择选择一个Amazon SQS队列用作死信队列,然后从下拉列表中选择要使用的队列。

      • 选择在其他 Amazon SQS 队列中选择其他队列 Amazon 帐户作为死信队列,然后输入要使用的队列的 ARN。您必须将基于资源的策略附加到授予EventBridge向它发送消息的权限。有关更多信息,请参阅 授予死信队列的权限

  16. (可选) 选择添加另一个目标为此规则添加另一个目标。

  17. 请选择 Next (下一步)

  18. (可选)为规则输入一个或多个标签。有关更多信息,请参阅 标签 Amazon EventBridge

  19. 请选择 Next (下一步)

  20. 查看规则的详细信息并选择创建规则.