Amazon EventBridge 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EventBridge 的操作、资源和条件键

Amazon EventBridge(服务前缀:events)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon EventBridge 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
ActivateEventSource 授予激活合作伙伴事件源的权限 写入

event-source*

CancelReplay 授予取消重播的权限 写入

replay*

CreateApiDestination 授予创建新 api 目标的权限 写入

api-destination*

connection*

CreateArchive 授予创建新存档的权限 写入

archive*

CreateConnection 授予创建新连接的权限 写入

connection*

CreateEventBus 授予创建事件总线的权限 写入

event-bus*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePartnerEventSource 授予创建合作伙伴事件源的权限 写入

event-source*

DeactivateEventSource 授予停用事件源的权限 写入

event-source*

DeauthorizeConnection 授予取消连接授权的权限,删除其存储的授权密钥 写入

connection*

DeleteApiDestination 授予删除 api 目标的权限 写入

api-destination*

DeleteArchive 授予删除存档的权限 写入

archive*

DeleteConnection 授予权限以删除连接 写入

connection*

DeleteEventBus 授予删除事件总线的权限 写入

event-bus*

DeletePartnerEventSource 授予删除合作伙伴事件源的权限 写入

event-source*

DeleteRule 授予删除规则的权限 写入

rule*

events:creatorAccount

DescribeApiDestination 授予检索 api 目标详细信息的权限 Read

api-destination*

connection*

DescribeArchive 授予检索存档详细信息的权限 Read

archive*

DescribeConnection 授予检索连接详细信息的权限 Read

connection*

DescribeEventBus 授予检索事件总线详细信息的权限 Read

event-bus

DescribeEventSource 授予检索事件源详细信息的权限 Read

event-source*

DescribePartnerEventSource 授予检索合作伙伴事件源详细信息的权限 Read

event-source*

DescribeReplay 授予检索重播详细信息的权限 Read

replay*

DescribeRule 授予检索规则详细信息的权限 Read

rule*

events:creatorAccount

DisableRule 授予禁用规则的权限 写入

rule*

events:creatorAccount

EnableRule 授予启用规则的权限 写入

rule*

events:creatorAccount

InvokeApiDestination [仅权限] 授予调用 api 目标的权限 写入

api-destination*

ListApiDestinations 授予检索 api 目标列表的权限 List
ListArchives 授予检索存档列表的权限 List
ListConnections 授予权限以检索连接列表 List
ListEventBuses 授予检索账户中事件总线列表的权限 List
ListEventSources 授予检索与此账户共享的事件源列表的权限 List
ListPartnerEventSourceAccounts 授予检索与事件源关联的 AWS 账户 ID 列表的权限 List

event-source*

ListPartnerEventSources 授予检索合作伙伴事件源列表的权限 List
ListReplays 授予检索重播列表的权限 List
ListRuleNamesByTarget 授予检索与目标关联的规则名称列表的权限 List
ListRules 授予检索账户中 Amazon EventBridge 规则列表的权限 List
ListTagsForResource 授予检索与 Amazon EventBridge 资源关联的标签列表的权限 List

event-bus

rule

events:creatorAccount

ListTargetsByRule 授予检索针对规则定义的目标列表的权限 List

rule*

events:creatorAccount

PutEvents 授予向 Amazon EventBridge 发送自定义事件的权限 写入

event-bus*

events:detail-type

events:source

events:eventBusInvocation

aws:SourceArn

aws:SourceAccount

PutPartnerEvents 授予向 Amazon EventBridge 发送自定义事件的权限 写入
PutPermission 授予使用 PutPermission 操作的权限,以向另一个 AWS 账户授予权限将事件放入默认事件总线 权限管理
PutRule 授予创建或更新规则的权限 标记

rule*

events:detail.userIdentity.principalId

events:detail-type

events:source

events:detail.service

events:detail.eventTypeCode

aws:RequestTag/${TagKey}

aws:TagKeys

events:creatorAccount

PutTargets 授予向规则添加目标的权限 写入

rule*

events:TargetArn

events:creatorAccount

RemovePermission 授予权限,以撤销另一个 AWS 账户将事件放入默认事件总线的权限 权限管理
RemoveTargets 授予将目标从规则中删除的权限 写入

rule*

events:creatorAccount

StartReplay 授予启动存档重播的权限 写入

archive*

TagResource 授予向 Amazon EventBridge 资源添加标签的权限 标记

event-bus

rule

aws:TagKeys

aws:RequestTag/${TagKey}

events:creatorAccount

TestEventPattern 授予测试事件模式是否与提供的事件匹配的权限 Read
UntagResource 授予从 Amazon EventBridge 资源中删除标签的权限 标记

event-bus

rule

aws:TagKeys

events:creatorAccount

UpdateApiDestination 授予更新 api 目标的权限 写入

api-destination*

UpdateArchive 授予更新存档的权限 写入

archive*

UpdateConnection 授予权限以更新连接 写入

connection*

Amazon EventBridge 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
event-source arn:${Partition}:events:${Region}::event-source/${EventSourceName}
event-bus arn:${Partition}:events:${Region}:${Account}:event-bus/${EventBusName}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:events:${Region}:${Account}:rule/[${EventBusName}/]${RuleName}

aws:ResourceTag/${TagKey}

archive arn:${Partition}:events:${Region}:${Account}:archive/${ArchiveName}
replay arn:${Partition}:events:${Region}:${Account}:replay/${ReplayName}
connection arn:${Partition}:events:${Region}:${Account}:connection/${ConnectionName}
api-destination arn:${Partition}:events:${Region}:${Account}:api-destination/${ApiDestinationName}

Amazon EventBridge 的条件键

Amazon EventBridge 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个标签的允许值集筛选对事件总线和规则操作的访问 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选对事件总线和规则操作的访问 字符串
aws:SourceAccount 根据请求来源是否来自特定账户筛选对 PutEvents 操作的访问 字符串
aws:SourceArn 根据提出请求的来源的 Amazon 资源名称 (ARN) 筛选对 PutEvents 操作的访问 字符串
aws:TagKeys 根据在请求中是否具有必需标签筛选对事件总线和规则操作的访问 字符串
events:ManagedBy 由 AWS 服务在内部使用。如果某个规则由 AWS 服务代表您创建,则值是创建规则的服务的委托人名称 字符串
events:TargetArn 根据可放入规则的目标的 ARN 筛选对 PutTargets 操作的访问 ARN
events:creatorAccount 根据创建规则的账户筛选对规则操作的访问 字符串
events:detail-type 根据事件详细类型的文字字符串筛选对 PutEvents 和 PutRule 操作的访问 字符串
events:detail.eventTypeCode 根据事件的 detail.eventTypeCode 字段的文字字符串筛选对 PutRule 操作的访问 字符串
events:detail.service 根据事件的 detail.service 字段的文字字符串筛选对 PutRule 操作的访问 字符串
events:detail.userIdentity.principalId 根据事件的 detail.useridentity.principalid 字段的文字字符串筛选对 PutRule 操作的访问 字符串
events:eventBusInvocation 根据事件是通过 API 还是跨账户总线调用生成的来筛选对 PutEvents 操作的访问 字符串
events:source 根据生成事件的 AWS 服务或 AWS 合作伙伴事件源筛选对 PutEvents 和 PutRule 操作的访问。匹配事件的 source 字段的文字字符串 字符串