Amazon EventBridge 架构的基于资源的策略 - 亚马逊 EventBridge
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EventBridge 架构的基于资源的策略

EventBridge架构注册表支持基于资源的策略. 一个基于资源的策略是附加到资源而不是 IAM 身份的策略。例如,在 Amazon Simple Storage Service (Amazon S3) 中,资源策略附加到 Amazon S3 存储桶。

有关 EventBridge 架构和基于资源的策略的更多信息,请参阅以下内容。

支持的基于资源的策略的 API

您可以将以下 API 与基于资源的策略结合使用 EventBridge 模式注册表。

  • DescribeRegistry

  • UpdateRegistry

  • DeleteRegistry

  • ListSchemas

  • SearchSchemas

  • DescribeSchema

  • CreateSchema

  • DeleteSchema

  • UpdateSchema

  • ListSchemaVersions

  • DeleteSchemaVersion

  • DescribeCodeBinding

  • GetCodeBindingSource

  • PutCodeBinding

示例策略将所有支持的操作授予Amazon帐户

对于 EventBridge 架构注册表,您必须始终将基于资源的策略附加到注册表。要授予对架构的访问权限,请在策略中指定架构 ARN 和注册表 ARN。

要授予用户对 EventBridge Schemas 的所有可用 API 的访问权限,请使用类似于以下内容的策略,替换"Principal"使用您希望授予访问权限的账户 ID。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:*" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ] }

将只读操作授予的示例策略Amazon帐户

以下示例仅授予对 EventBridge 模式的只读 API 的账户访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:DescribeRegistry", "schemas:ListSchemas", "schemas:SearchSchemas", "schemas:DescribeSchema", "schemas:ListSchemaVersions", "schemas:DescribeCodeBinding", "schemas:GetCodeBindingSource" ], "Principal": { "AWS": [ "109876543210" ] }, "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ] } ] }

将所有操作授予组织的示例策略

您可以将基于资源的策略与 EventBridge 架构注册表结合使用来授予对组织的访问权限。有关更多信息,请参阅 Amazon Organizations 用户指南。以下示例向组织授予 ID 为o-a1b2c3d4e5访问架构注册表。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Test", "Effect": "Allow", "Action": [ "schemas:*" ], "Principal": "*", "Resource": [ "arn:aws:schemas:us-east-1:012345678901:registry/default", "arn:aws:schemas:us-east-1:012345678901:schema/default*" ], "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-a1b2c3d4e5" ] } } } ] }