在 Amazon 中使用活动总线的权限 EventBridge - Amazon EventBridge
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中使用活动总线的权限 EventBridge

您 Amazon 账户中的默认事件总线仅允许来自一个账户的事件。您可以为事件总线附加基于资源的策略,向其授予其他权限。使用基于资源的策略,您可以允许PutEventsPutRule、和来自其他账户的PutTargetsAPI呼叫。您还可以使用策略中的IAM条件向组织授予权限、应用标签或筛选仅针对来自特定规则或账户的组织的事件。您可以在创建事件总线时为其设置基于资源的策略,也可以稍后设置。

EventBridge APIs接受事件总线Name参数PutRule,例如、、PutTargetsDeleteRuleRemoveTargetsDisableRule、,并且EnableRule还接受事件总线ARN。使用这些参数通过引用跨账户或跨区域的事件总线。APIs例如,您可以调用 PutRule,在其他账户的事件总线上创建规则,而无需担任角色。

您可以将本主题中的示例策略附加到某个IAM角色,以授予向其他账户或区域发送事件的权限。使用IAM角色来设置组织控制策略和界限,确定谁可以将事件从您的账户发送到其他账户。当规则的目标是事件总线时,我们建议始终使用IAM角色。您可以使用PutTarget调用来附加IAM角色。有关如何创建规则并向其他账户或区域发送事件的的信息,请参阅在 Amazon Amazon 账户之间发送和接收事件 EventBridge