为亚马逊使用基于身份的政策(IAM政策) EventBridge - Amazon EventBridge
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为亚马逊使用基于身份的政策(IAM政策) EventBridge

基于身份的策略是您可以附加到IAM身份的权限策略。

Amazon 的托管策略 EventBridge

Amazon 通过提供由创建和管理的独立IAM策略来解决许多常见用例 Amazon。托管 策略也称为预定义策略,可针对常见使用场景授予必要的权限,让您不必调查需要哪些权限。有关更多信息,请参阅《IAM用户指南》中的Amazon 托管策略

您可以绑定到账户中用户的以下 Amazon 托管策略特定于 EventBridge:

  • AmazonEventBridgeFullAccess— 授予对 EventBridge 管道 EventBridge、 EventBridge 架构和 EventBridge 调度程序的完全访问权限。

  • AmazonEventBridgeReadOnlyAccess— 授予对 EventBridge 管道 EventBridge、 EventBridge 架构和 EventBridge 调度程序的只读访问权限。

AmazonEventBridgeFullAccess 政策

该 AmazonEventBridgeFullAccess 策略授予使用所有 EventBridge 操作的权限以及以下权限:

  • iam:CreateServiceLinkedRole— EventBridge 需要此权限才能在您的账户中为API目的地创建服务角色。此权限仅授予在您的账户中为API目标创建角色的IAM服务权限。

  • iam:PassRole— EventBridge 需要此权限才能将调用角色传递给 EventBridge 以调用规则的目标。

  • S@@ ecrets Manager 权限 — 当你通过连接资源提供证书来授权API目标时, EventBridge需要这些权限来管理你账户中的机密。

以下JSON显示了该 AmazonEventBridgeFullAccess 策略。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EventBridgeActions", "Effect": "Allow", "Action": [ "events:*", "schemas:*", "scheduler:*", "pipes:*" ], "Resource": "*" }, { "Sid": "IAMCreateServiceLinkedRoleForApiDestinations", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/AmazonEventBridgeApiDestinationsServiceRolePolicy", "Condition": { "StringEquals": { "iam:AWSServiceName": "apidestinations.events.amazonaws.com" } } }, { "Sid": "SecretsManagerAccessForApiDestinations", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:events!*" }, { "Sid": "IAMPassRoleAccessForEventBridge", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "events.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForScheduler", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "scheduler.amazonaws.com" } } }, { "Sid": "IAMPassRoleAccessForPipes", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "pipes.amazonaws.com" } } } ] }
注意

本节中的信息也适用于 CloudWatchEventsFullAccess 策略。但是,强烈建议您使用亚马逊 EventBridge 而不是亚马逊 CloudWatch 活动。

AmazonEventBridgeReadOnlyAccess 政策

该 AmazonEventBridgeReadOnlyAccess 策略授予使用所有读取 EventBridge 操作的权限。

以下JSON显示了该 AmazonEventBridgeReadOnlyAccess 策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DescribeEventBus", "events:DescribeEventSource", "events:ListEventBuses", "events:ListEventSources", "events:ListRuleNamesByTarget", "events:ListRules", "events:ListTargetsByRule", "events:TestEventPattern", "events:DescribeArchive", "events:ListArchives", "events:DescribeReplay", "events:ListReplays", "events:DescribeConnection", "events:ListConnections", "events:DescribeApiDestination", "events:ListApiDestinations", "events:DescribeEndpoint", "events:ListEndpoints", "schemas:DescribeCodeBinding", "schemas:DescribeDiscoverer", "schemas:DescribeRegistry", "schemas:DescribeSchema", "schemas:ExportSchema", "schemas:GetCodeBindingSource", "schemas:GetDiscoveredSchema", "schemas:GetResourcePolicy", "schemas:ListDiscoverers", "schemas:ListRegistries", "schemas:ListSchemas", "schemas:ListSchemaVersions", "schemas:ListTagsForResource", "schemas:SearchSchemas", "scheduler:GetSchedule", "scheduler:GetScheduleGroup", "scheduler:ListSchedules", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "pipes:DescribePipe", "pipes:ListPipes", "pipes:ListTagsForResource" ], "Resource": "*" } ] }
注意

本节中的信息也适用于 CloudWatchEventsReadOnlyAccess 策略。但是,强烈建议您使用亚马逊 EventBridge 而不是亚马逊 CloudWatch 活动。

EventBridge 特定于架构的托管策略

架构定义了发送到的事件的结构 EventBridge。 EventBridge 为 Amazon 服务生成的所有事件提供架构。以下特定于 EventBridge 架构的 Amazon 托管策略可用:

EventBridge 日程安排器特定的托管策略

Amazon Sched EventBridge uler 是一种无服务器计划程序,允许您通过一个中央托管服务创建、运行和管理任务。有关特定于日程安排器的 Amazon 托管策略,请参阅《 EventBridge 日程安排器 EventBridge 用户指南》中的日程安排EventBridge 程序Amazon 托管策略

EventBridge 特定于管道的托管策略

Amazon Pip EventBridge es 将事件源与目标连接起来。在开发事件驱动型架构时,Pipes 可减少对专业知识和集成代码的需求。这有助于确保贵公司应用程序的一致性。以下特定于 Pipes 的 Amazon 托 EventBridge 管策略可用:

IAM用于发送事件的角色

要将事件传递给目标, EventBridge 需要一个IAM角色。

创建用于向其发送事件的IAM角色 EventBridge
  1. 从 IAM 打开 https://console.aws.amazon.com/iam/ 控制台。

  2. 要创建IAM角色,请按照《IAM用户指南》中创建向 Amazon 服务委派权限的角色中的步骤操作。在执行这些步骤时,请注意以下操作:

    • 角色名称中,使用账户中的唯一名称。

    • “选择角色类型” 中,选择 “Amazon 服务角色”,然后选择 Amazon EventBridge。这会授予担任该角色的 EventBridge 权限。

    • 附加策略中,选择AmazonEventBridgeFullAccess

您也可以创建自己的自定义IAM策略,以授予 EventBridge 操作和资源的权限。您可以将这些自定义策略附加到需要这些权限的IAM用户或群组。有关IAM策略的更多信息,请参阅IAM用户指南》中的IAM策略概述。有关管理和创建自定义IAM策略的更多信息,请参阅IAM用户指南中的管理IAM策略

使用IAM角色 EventBridge 访问目标所需的权限

EventBridge 目标通常需要授予调 EventBridge 用目标权限的IAM角色。以下是各种 Amazon 服务和目标的一些示例。对于其他人,请使用 EventBridge 控制台创建规则并创建一个新角色,该角色将使用预先配置了范围明确的权限的策略来创建。

亚马逊SQSSNS、亚马逊、Lambda、 CloudWatch 日志和 EventBridge 总线目标不使用角色, EventBridge 必须通过资源策略授予权限。API网关目标可以使用资源策略或IAM角色。

如果目标是API目标,则您指定的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:InvokeApiDestination" ], "Resource": [ "arn:aws:events:::api-destination/*" ] } ] }

如果目标是 Kinesis 流,则用于将事件数据发送到该目标的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }

如果目标是 Systems Manager Run Command 且您为命令指定了一个或多个 InstanceIds 值,则您指定的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/instanceIds", "arn:aws:ssm:region:*:document/documentName" ] } ] }

如果目标是 Systems Manager Run Command 且您为命令指定了一个或多个标签,则您指定的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [ { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ec2:region:accountId:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/*": [ "[[tagValues]]" ] } } }, { "Action": "ssm:SendCommand", "Effect": "Allow", "Resource": [ "arn:aws:ssm:region:*:document/documentName" ] } ] }

如果目标是 Amazon Step Functions 状态机,则您指定的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:stateMachine:*" ] } ] }

如果目标是 Amazon ECS 任务,则您指定的角色必须包含以下策略。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ecs:RunTask" ], "Resource": [ "arn:aws:ecs:*:account-id:task-definition/task-definition-name" ], "Condition": { "ArnLike": { "ecs:cluster": "arn:aws:ecs:*:account-id:cluster/cluster-name" } } }, { "Effect": "Allow", "Action":"iam:PassRole", "Resource": [ "*" ], "Condition": { "StringLike": { "iam:PassedToService": "ecs-tasks.amazonaws.com" } } }] }

以下策略允许中的 EventBridge 内置目标代表您执行 Amazon EC2 操作。您需要使用 Amazon Web Services Management Console 来创建带有内置目标的规则。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TargetInvocationAccess", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:CreateSnapshot" ], "Resource": "*" } ] }

以下政策允许 EventBridge 将事件中继到您账户中的 Kinesis 直播。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisAccess", "Effect": "Allow", "Action": [ "kinesis:PutRecord" ], "Resource": "*" } ] }

客户管理型策略示例:使用标记来控制对规则的访问权限

以下示例显示了授予 EventBridge 操作权限的用户策略。当您使用、或时 EventBridge API Amazon SDKs,此策略有效 Amazon CLI。

您可以授予用户访问特定 EventBridge 规则的权限,同时阻止他们访问其他规则。为此,您可以标记两组规则,然后使用引用这些标签的IAM策略。有关为 EventBridge 资源添加标签的更多信息,请参阅在 Amazon 中为资源添加标签 EventBridge

您可以向用户授予IAM策略,使其仅允许访问带有特定标签的规则。您可以用这个特定标签来标记所选规则,为它们授予访问权限。例如,以下策略仅向某用户授予对标签键 Stack 值为 Prod 的规则的访问权限。

{ "Statement": [ { "Effect": "Allow", "Action": "events:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Stack": "Prod" } } } ] }

有关使用IAM策略声明的更多信息,请参阅《IAM用户指南》中的使用策略控制访问权限

亚马逊 EventBridge 更新了托 Amazon 管政策

查看 EventBridge 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ EventBridge 文档历史记录” 页面上的订阅RSS源。

更改 描述 日期

AmazonEventBridgeFullAccess - 更新的策略

Amazon GovCloud (US) Regions 只有

不包括以下权限,因为未使用该权限:

  • iam:CreateServiceLinkedRole EventBridge 架构注册表的权限

2024 年 5 月 9 日

AmazonEventBridgeSchemasFullAccess - 更新的策略

Amazon GovCloud (US) Regions 只有

不包括以下权限,因为未使用该权限:

  • iam:CreateServiceLinkedRole EventBridge 架构注册表的权限

2024 年 5 月 9 日

AmazonEventBridgePipesFullAccess— 添加了新政策

EventBridge 为使用 Pipes 的全部权限添加了托 EventBridge 管策略。

2022 年 12 月 1 日

AmazonEventBridgePipesReadOnlyAccess— 添加了新政策

EventBridge 为查看 Pipes 信息资源的权限添加了托 EventBridge 管策略。

2022 年 12 月 1 日

AmazonEventBridgePipesOperatorAccess— 添加了新政策

EventBridge 为查看 EventBridge 管道信息以及启动和停止运行管道的权限添加了托管策略。

2022 年 12 月 1 日

AmazonEventBridgeFullAccess – 更新到现有策略

EventBridge 更新了策略,增加了使用 Pip EventBridge es 功能所需的权限。

2022 年 12 月 1 日

AmazonEventBridgeReadOnlyAccess – 更新到现有策略

EventBridge 添加了查看 Pip EventBridge es 信息资源所需的权限。

添加了以下操作:

  • pipes:DescribePipe

  • pipes:ListPipes

  • pipes:ListTagsForResource

2022 年 12 月 1 日

CloudWatchEventsReadOnlyAccess – 更新到现有策略

已更新以匹配 AmazonEventBridgeReadOnlyAccess。

2022 年 12 月 1 日

CloudWatchEventsFullAccess – 更新到现有策略

已更新以匹配 AmazonEventBridgeFullAccess。

2022 年 12 月 1 日

AmazonEventBridgeFullAccess – 更新到现有策略

EventBridge 更新了策略,增加了使用架构和计划程序功能所需的权限。

添加了以下权限:

  • EventBridge 架构注册表操作

  • EventBridge 调度器操作

  • iam:CreateServiceLinkedRole EventBridge 架构注册表的权限

  • iam:PassRole EventBridge 日程安排器的权限

2022 年 11 月 10 日

AmazonEventBridgeReadOnlyAccess – 更新到现有策略

EventBridge 添加了查看架构和调度程序信息资源所需的权限。

添加了以下操作:

  • schemas:DescribeCodeBinding

  • schemas:DescribeDiscoverer

  • schemas:DescribeRegistry

  • schemas:DescribeSchema

  • schemas:ExportSchema

  • schemas:GetCodeBindingSource

  • schemas:GetDiscoveredSchema

  • schemas:GetResourcePolicy

  • schemas:ListDiscoverers

  • schemas:ListRegistries

  • schemas:ListSchemas

  • schemas:ListSchemaVersions

  • schemas:ListTagsForResource

  • schemas:SearchSchemas

  • scheduler:GetSchedule

  • scheduler:GetScheduleGroup

  • scheduler:ListSchedules

  • scheduler:ListScheduleGroups

  • scheduler:ListTagsForResource

2022 年 11 月 10 日

AmazonEventBridgeReadOnlyAccess – 更新到现有策略

EventBridge 添加了查看端点信息所需的权限。

添加了以下操作:

  • events:ListEndpoints

  • events:DescribeEndpoint

2022 年 4 月 7 日

AmazonEventBridgeReadOnlyAccess – 更新到现有策略

EventBridge 添加了查看连接和API目标信息所需的权限。

添加了以下操作:

  • events:DescribeConnection

  • events:ListConnections

  • events:DescribeApiDestination

  • events:ListApiDestinations

2021 年 3 月 4 日

AmazonEventBridgeFullAccess – 更新到现有策略

EventBridge 更新了政策,使其包含iam:CreateServiceLinkedRole了使用API目的地所需的 Amazon Secrets Manager 权限和权限。

添加了以下操作:

  • secretsmanager:CreateSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

2021 年 3 月 4 日

EventBridge 开始跟踪更改

EventBridge 开始跟踪其 Amazon 托管策略的更改。

2021 年 3 月 4 日